Almacenamiento de Credenciales en Linux

Los sistemas Linux almacenan credenciales en tres tipos de cachés, a saber Archivos (en el directorio /tmp), Anillos de Claves del Kernel (un segmento especial en el kernel de Linux) y Memoria de Procesos (para uso de un solo proceso). La variable default_ccache_name en /etc/krb5.conf revela el tipo de almacenamiento en uso, con un valor predeterminado de FILE:/tmp/krb5cc_%{uid} si no se especifica.

Extracción de Credenciales

El documento de 2017, Robo de Credenciales de Kerberos (GNU/Linux), describe métodos para extraer credenciales de anillos de claves y procesos, enfatizando el mecanismo de anillos de claves del kernel de Linux para gestionar y almacenar claves.

Resumen de Extracción de Anillos de Claves

La llamada al sistema keyctl, introducida en la versión del kernel 2.6.10, permite que las aplicaciones de espacio de usuario interactúen con los anillos de claves del kernel. Las credenciales en los anillos de claves se almacenan como componentes (principal predeterminado y credenciales), distintos de los ccaches de archivos que también incluyen un encabezado. El script hercules.sh del documento demuestra la extracción y reconstrucción de estos componentes en un ccaché de archivo utilizable para el robo de credenciales.

Herramienta de Extracción de Tickets: Tickey

Basándose en los principios del script hercules.sh, la herramienta tickey está diseñada específicamente para extraer tickets de anillos de claves, ejecutada a través de /tmp/tickey -i.

Referencias

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/