Зберігання облікових даних в Linux

Системи Linux зберігають облікові дані в трьох типах кешів, а саме Файли (у каталозі /tmp), Ядро Keyrings (особливий сегмент у ядрі Linux) та Пам'ять процесу (для використання в одному процесі). Змінна default_ccache_name в /etc/krb5.conf вказує тип зберігання, за замовчуванням встановлюється FILE:/tmp/krb5cc_%{uid}, якщо не вказано інше.

Вилучення облікових даних

У документі 2017 року, Крадіжка облікових даних Kerberos (GNU/Linux), описано методи вилучення облікових даних з keyrings та процесів, зокрема механізм keyring ядра Linux для управління та зберігання ключів.

Огляд вилучення Keyring

Системний виклик keyctl, введений у версії ядра 2.6.10, дозволяє додаткам простору користувача взаємодіяти з keyrings ядра. Облікові дані в keyrings зберігаються як компоненти (типовий принципал та облікові дані), відмінні від файлових ccaches, які також включають заголовок. Сценарій hercules.sh з документу демонструє вилучення та відновлення цих компонентів у використовуваний файл ccache для крадіжки облікових даних.

Інструмент для вилучення квитків: Tickey

На основі принципів сценарію hercules.sh, інструмент tickey спеціально призначений для вилучення квитків з keyrings, виконується за допомогою /tmp/tickey -i.

Посилання

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/