Harvesting tickets from Linux
Przechowywanie poświadczeń w systemie Linux
Systemy Linux przechowują poświadczenia w trzech rodzajach pamięci podręcznych, a mianowicie Plikach (w katalogu /tmp
), Kernel Keyrings (specjalny segment w jądrze Linuxa) i Pamięci procesu (do użytku jednoprocesowego). Zmienna default_ccache_name w pliku /etc/krb5.conf
ujawnia używany rodzaj pamięci podręcznej, domyślnie ustawiony na FILE:/tmp/krb5cc_%{uid}
, jeśli nie jest określony.
Wyodrębnianie poświadczeń
W artykule z 2017 roku, Kradzież poświadczeń Kerberos (GNU/Linux), opisane są metody wyodrębniania poświadczeń z keyringów i procesów, ze szczególnym uwzględnieniem mechanizmu keyringa jądra Linuxa do zarządzania i przechowywania kluczy.
Przegląd wyodrębniania keyringów
Wywołanie systemowe keyctl, wprowadzone w wersji jądra 2.6.10, umożliwia aplikacjom przestrzeni użytkownika interakcję z keyringami jądra. Poświadczenia w keyringach są przechowywane jako składniki (domyślny podstawowy i poświadczenia), odrębne od plikowych pamięci podręcznych, które zawierają również nagłówek. Skrypt hercules.sh z artykułu demonstruje wyodrębnianie i odtwarzanie tych składników w celu kradzieży poświadczeń.
Narzędzie do wyodrębniania biletów: Tickey
Bazując na zasadach skryptu hercules.sh, narzędzie tickey jest specjalnie zaprojektowane do wyodrębniania biletów z keyringów, uruchamiane za pomocą /tmp/tickey -i
.
Odwołania
Last updated