Stockage des informations d'identification dans Linux

Les systèmes Linux stockent les informations d'identification dans trois types de caches, à savoir les Fichiers (dans le répertoire /tmp), les Trousseaux du noyau (un segment spécial dans le noyau Linux) et la Mémoire des processus (pour une utilisation par processus unique). La variable default_ccache_name dans /etc/krb5.conf révèle le type de stockage utilisé, en utilisant par défaut FILE:/tmp/krb5cc_%{uid} s'il n'est pas spécifié.

Extraction des informations d'identification

Le document de 2017, Vol de crédential Kerberos (GNU/Linux), décrit les méthodes d'extraction des informations d'identification des trousseaux et des processus, en mettant l'accent sur le mécanisme de trousseau du noyau Linux pour la gestion et le stockage des clés.

Aperçu de l'extraction du trousseau

L'appel système keyctl, introduit dans la version du noyau 2.6.10, permet aux applications de l'espace utilisateur d'interagir avec les trousseaux du noyau. Les informations d'identification dans les trousseaux sont stockées sous forme de composants (principal par défaut et informations d'identification), distincts des ccaches de fichiers qui incluent également un en-tête. Le script hercules.sh du document montre comment extraire et reconstruire ces composants dans un fichier ccache utilisable pour le vol d'informations d'identification.

Outil d'extraction de tickets : Tickey

S'appuyant sur les principes du script hercules.sh, l'outil tickey est spécifiquement conçu pour extraire des tickets des trousseaux, exécuté via /tmp/tickey -i.

Références

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/