{{#include ../../banners/hacktricks-training.md}}

### Kredensiaalberging in Linux

Linux-stelsels stoor kredensiale in drie tipes kas, naamlik **Lêers** (in die `/tmp` gids), **Kernel Sleutels** (n spesiale segment in die Linux-kern), en **Prosesgeheue** (vir enkel-proses gebruik). Die **default_ccache_name** veranderlike in `/etc/krb5.conf` onthul die tipe berging wat gebruik word, wat standaard op `FILE:/tmp/krb5cc_%{uid}` is as dit nie gespesifiseer is nie.

### Uittreksel van Kredensiale

Die 2017 artikel, [**Kerberos Kredensiaal Diefstal (GNU/Linux)**](https://www.delaat.net/rp/2016-2017/p97/report.pdf), beskryf metodes om kredensiale uit sleutels en prosesse te onttrek, met die klem op die Linux-kern se sleutelmeganisme vir die bestuur en berging van sleutels.

#### Sleutel Uittreksel Oorsig

Die **keyctl stelselskakel**, bekendgestel in kern weergawe 2.6.10, laat gebruikersruimte toepassings toe om met kernsleutels te kommunikeer. Kredensiale in sleutels word gestoor as komponente (standaard prinsiep en kredensiale), wat verskillend is van lêer kas wat ook 'n kopstuk insluit. Die **hercules.sh skrip** uit die artikel demonstreer die onttrekking en heropbou van hierdie komponente in 'n bruikbare lêer kas vir kredensiaal diefstal.

#### Teken Uittrek Gereedskap: Tickey

Gebaseer op die beginsels van die **hercules.sh skrip**, is die [**tickey**](https://github.com/TarlogicSecurity/tickey) gereedskap spesifiek ontwerp om teken uit sleutels te onttrek, uitgevoer via `/tmp/tickey -i`.

## Verwysings

- [**https://www.tarlogic.com/en/blog/how-to-attack-kerberos/**](https://www.tarlogic.com/en/blog/how-to-attack-kerberos/)

{{#include ../../banners/hacktricks-training.md}}