{{#include ../../banners/hacktricks-training.md}}

### Linuxにおける資格情報の保存

Linuxシステムは、**ファイル**（`/tmp`ディレクトリ内）、**カーネルキーリング**（Linuxカーネル内の特別なセグメント）、および**プロセスメモリ**（単一プロセス用）の3種類のキャッシュに資格情報を保存します。`/etc/krb5.conf`内の**default_ccache_name**変数は、使用中の保存タイプを示し、指定されていない場合は`FILE:/tmp/krb5cc_%{uid}`がデフォルトとなります。

### 資格情報の抽出

2017年の論文、[**Kerberos Credential Thievery (GNU/Linux)**](https://www.delaat.net/rp/2016-2017/p97/report.pdf)は、キーリングやプロセスから資格情報を抽出する方法を概説しており、キーの管理と保存のためのLinuxカーネルのキーリングメカニズムを強調しています。

#### キーリング抽出の概要

**keyctlシステムコール**は、カーネルバージョン2.6.10で導入され、ユーザースペースアプリケーションがカーネルキーリングと対話することを可能にします。キーリング内の資格情報は、ファイルccacheに含まれるヘッダーとは異なり、コンポーネント（デフォルトのプリンシパルと資格情報）として保存されます。論文の**hercules.shスクリプト**は、これらのコンポーネントを抽出し、資格情報窃盗のために使用可能なファイルccacheに再構築する方法を示しています。

#### チケット抽出ツール: Tickey

**hercules.shスクリプト**の原則に基づいて、[**tickey**](https://github.com/TarlogicSecurity/tickey)ツールは、キーリングからチケットを抽出するために特別に設計されており、`/tmp/tickey -i`を介して実行されます。

## 参考文献

- [**https://www.tarlogic.com/en/blog/how-to-attack-kerberos/**](https://www.tarlogic.com/en/blog/how-to-attack-kerberos/)

{{#include ../../banners/hacktricks-training.md}}