Skladištenje akreditacija u Linux-u

Linux sistemi skladište akreditacije u tri vrste keša, to su Fajlovi (u /tmp direktorijumu), Kernel Keyrings (poseban segment u Linux kernelu) i Memorija procesa (za upotrebu jednog procesa). Promenljiva default_ccache_name u /etc/krb5.conf otkriva vrstu skladištenja koja se koristi, sa podrazumevanom vrednošću FILE:/tmp/krb5cc_%{uid} ako nije navedena.

Izvlačenje akreditacija

Rad iz 2017. godine, Krađa Kerberos akreditacija (GNU/Linux), opisuje metode izvlačenja akreditacija iz keša i procesa, sa posebnim naglaskom na mehanizam keša u Linux kernelu za upravljanje i skladištenje ključeva.

Pregled izvlačenja keša

Sistemski poziv keyctl, koji je uveden u verziji kernela 2.6.10, omogućava aplikacijama u prostoru korisnika da komuniciraju sa kešem kernela. Akreditacije u kešu se skladište kao komponente (podrazumevani principali i akreditacije), koje se razlikuju od fajl ccaches koje takođe uključuju zaglavlje. Skripta hercules.sh iz rada demonstrira izvlačenje i rekonstrukciju ovih komponenti u upotrebljiv fajl ccache za krađu akreditacija.

Alat za izvlačenje tiketa: Tickey

Građen na principima skripte hercules.sh, alat tickey je posebno dizajniran za izvlačenje tiketa iz keša, izvršava se putem /tmp/tickey -i.

Reference

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/