Linux에서의 자격 증명 저장

Linux 시스템은 파일(/tmp 디렉토리에 저장), **커널 키링** (Linux 커널의 특수 세그먼트) 및 **프로세스 메모리** (단일 프로세스 사용) 세 가지 유형의 캐시에 자격 증명을 저장합니다. /etc/krb5.conf의 **default\_ccache\_name** 변수는 사용 중인 저장소 유형을 나타내며, 지정되지 않은 경우 FILE:/tmp/krb5cc_%{uid}`로 기본 설정됩니다.

자격 증명 추출

2017년 논문인 Kerberos Credential Thievery (GNU/Linux)는 키링 및 프로세스에서 자격 증명을 추출하는 방법을 설명하며, Linux 커널의 키링 메커니즘을 강조합니다.

키링 추출 개요

커널 버전 2.6.10에서 도입된 keyctl 시스템 호출은 사용자 공간 응용 프로그램이 커널 키링과 상호 작용할 수 있게 합니다. 키링의 자격 증명은 파일 ccache와 구분되는 구성 요소(기본 주체 및 자격 증명)로 저장됩니다. 논문의 hercules.sh 스크립트는 이러한 구성 요소를 추출하고 재구성하여 자격 증명 도용에 사용할 수 있는 파일 ccache로 만드는 방법을 보여줍니다.

티케이(Tickey) 티켓 추출 도구

hercules.sh 스크립트의 원리를 기반으로 한 tickey 도구는 키링에서 티켓을 추출하기 위해 특별히 설계되었습니다. /tmp/tickey -i를 통해 실행됩니다.

참고 자료

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/