{{#include ../../banners/hacktricks-training.md}}

### Speicherung von Anmeldeinformationen in Linux

Linux-Systeme speichern Anmeldeinformationen in drei Arten von Caches, nämlich **Dateien** (im Verzeichnis `/tmp`), **Kernel-Keyrings** (ein spezieller Bereich im Linux-Kernel) und **Prozessspeicher** (für die Nutzung durch einen einzelnen Prozess). Die Variable **default_ccache_name** in `/etc/krb5.conf` zeigt den verwendeten Speichertyp an, standardmäßig `FILE:/tmp/krb5cc_%{uid}`, wenn nicht angegeben.

### Extrahieren von Anmeldeinformationen

Das Papier von 2017, [**Kerberos Credential Thievery (GNU/Linux)**](https://www.delaat.net/rp/2016-2017/p97/report.pdf), beschreibt Methoden zum Extrahieren von Anmeldeinformationen aus Keyrings und Prozessen und betont den Keyring-Mechanismus des Linux-Kernels zur Verwaltung und Speicherung von Schlüsseln.

#### Übersicht zur Keyring-Extraktion

Der **keyctl-Systemaufruf**, der in der Kernel-Version 2.6.10 eingeführt wurde, ermöglicht es Anwendungen im Benutzerspeicher, mit Kernel-Keyrings zu interagieren. Anmeldeinformationen in Keyrings werden als Komponenten (Standardprinzipal und Anmeldeinformationen) gespeichert, die sich von Datei-ccaches unterscheiden, die ebenfalls einen Header enthalten. Das **hercules.sh-Skript** aus dem Papier demonstriert das Extrahieren und Rekonstruieren dieser Komponenten in eine verwendbare Datei-ccache für den Diebstahl von Anmeldeinformationen.

#### Ticket-Extraktionstool: Tickey

Auf den Prinzipien des **hercules.sh-Skripts** basierend, ist das [**tickey**](https://github.com/TarlogicSecurity/tickey) Tool speziell zum Extrahieren von Tickets aus Keyrings konzipiert und wird über `/tmp/tickey -i` ausgeführt.

## Referenzen

- [**https://www.tarlogic.com/en/blog/how-to-attack-kerberos/**](https://www.tarlogic.com/en/blog/how-to-attack-kerberos/)

{{#include ../../banners/hacktricks-training.md}}