Harvesting tickets from Linux
Archiviazione delle credenziali in Linux
I sistemi Linux archiviano le credenziali in tre tipi di cache, ovvero File (nella directory /tmp
), Kernel Keyrings (un segmento speciale nel kernel Linux) e Memoria del processo (per uso singolo processo). La variabile default_ccache_name in /etc/krb5.conf
rivela il tipo di archiviazione in uso, con il valore predefinito FILE:/tmp/krb5cc_%{uid}
se non specificato.
Estrazione delle credenziali
Il documento del 2017, Kerberos Credential Thievery (GNU/Linux), illustra metodi per estrarre credenziali dalle keyring e dai processi, mettendo in evidenza il meccanismo di keyring del kernel Linux per la gestione e l'archiviazione delle chiavi.
Panoramica dell'estrazione delle keyring
La chiamata di sistema keyctl, introdotta nella versione del kernel 2.6.10, consente alle applicazioni dello spazio utente di interagire con le keyring del kernel. Le credenziali nelle keyring vengono archiviate come componenti (principal predefinito e credenziali), distinti dalle ccaches dei file che includono anche un'intestazione. Lo script hercules.sh del documento dimostra l'estrazione e la ricostruzione di questi componenti in una ccaches dei file utilizzabile per il furto delle credenziali.
Strumento di estrazione dei ticket: Tickey
Basandosi sui principi dello script hercules.sh, lo strumento tickey è specificamente progettato per estrarre i ticket dalle keyring, eseguito tramite /tmp/tickey -i
.
Riferimenti
Last updated