Armazenamento de Credenciais no Linux

Os sistemas Linux armazenam credenciais em três tipos de caches, a saber Arquivos (no diretório /tmp), Keyrings do Kernel (um segmento especial no kernel Linux) e Memória do Processo (para uso de um único processo). A variável default_ccache_name em /etc/krb5.conf revela o tipo de armazenamento em uso, com padrão para FILE:/tmp/krb5cc_%{uid} se não especificado.

Extraindo Credenciais

O artigo de 2017, Roubo de Credenciais Kerberos (GNU/Linux), descreve métodos para extrair credenciais de keyrings e processos, enfatizando o mecanismo de keyring do kernel Linux para gerenciar e armazenar chaves.

Visão Geral da Extração de Keyring

A chamada de sistema keyctl, introduzida na versão do kernel 2.6.10, permite que aplicativos de espaço de usuário interajam com keyrings do kernel. As credenciais em keyrings são armazenadas como componentes (principal padrão e credenciais), distintas dos ccaches de arquivo que também incluem um cabeçalho. O script hercules.sh do artigo demonstra a extração e reconstrução desses componentes em um arquivo ccache utilizável para roubo de credenciais.

Ferramenta de Extração de Tickets: Tickey

Baseando-se nos princípios do script hercules.sh, a ferramenta tickey é especificamente projetada para extrair tickets de keyrings, executada via /tmp/tickey -i.

Referências

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/