Αποθήκευση διαπιστευτηρίων στο Linux

Τα συστήματα Linux αποθηκεύουν τα διαπιστευτήρια σε τρεις τύπους μνημονικών, δηλαδή Αρχεία (στον κατάλογο /tmp), Κλειδοθήκες του πυρήνα (ένα ειδικό τμήμα στον πυρήνα του Linux) και Μνήμη Διεργασίας (για χρήση από μία μόνο διεργασία). Η μεταβλητή default_ccache_name στο αρχείο /etc/krb5.conf αποκαλύπτει τον τύπο αποθήκευσης που χρησιμοποιείται, με προεπιλογή το FILE:/tmp/krb5cc_%{uid} αν δεν καθοριστεί.

Εξαγωγή Διαπιστευτηρίων

Το άρθρο του 2017, Kerberos Credential Thievery (GNU/Linux), περιγράφει μεθόδους για την εξαγωγή διαπιστευτηρίων από κλειδοθήκες και διεργασίες, επικεντρώνοντας στον μηχανισμό των κλειδοθηκών του πυρήνα του Linux για τη διαχείριση και αποθήκευση κλειδιών.

Επισκόπηση Εξαγωγής Κλειδοθηκών

Η κλήση συστήματος keyctl, που εισήχθη στην έκδοση πυρήνα 2.6.10, επιτρέπει στις εφαρμογές χώρου χρήστη να αλληλεπιδρούν με τις κλειδοθήκες του πυρήνα. Τα διαπιστευτήρια στις κλειδοθήκες αποθηκεύονται ως συστατικά (προεπιλεγμένος πρωταρχικός και διαπιστευτήρια), διαφορετικά από τα αρχεία ccaches που περιλαμβάνουν επίσης έναν κεφαλίδα. Το σενάριο hercules.sh από το άρθρο δείχνει την εξαγωγή και την ανακατασκευή αυτών των συστατικών σε ένα αρχείο ccache που μπορεί να χρησιμοποιηθεί για κλοπή διαπιστευτηρίων.

Εργαλείο Εξαγωγής Εισιτηρίων: Tickey

Βασιζόμενο στις αρχές του σεναρίου hercules.sh, το εργαλείο tickey έχει σχεδιαστεί ειδικά για την εξαγωγή εισιτηρίων από κλειδοθήκες, εκτελούμενο μέσω /tmp/tickey -i.

Αναφορές

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/