1.9 KiB
{{#include ../../banners/hacktricks-training.md}}
Speicherung von Anmeldeinformationen in Linux
Linux-Systeme speichern Anmeldeinformationen in drei Arten von Caches, nämlich Dateien (im Verzeichnis /tmp), Kernel-Keyrings (ein spezieller Bereich im Linux-Kernel) und Prozessspeicher (für die Nutzung durch einen einzelnen Prozess). Die Variable default_ccache_name in /etc/krb5.conf zeigt den verwendeten Speichertyp an, standardmäßig FILE:/tmp/krb5cc_%{uid}, wenn nicht angegeben.
Extrahieren von Anmeldeinformationen
Das Papier von 2017, Kerberos Credential Thievery (GNU/Linux), beschreibt Methoden zum Extrahieren von Anmeldeinformationen aus Keyrings und Prozessen und betont den Keyring-Mechanismus des Linux-Kernels zur Verwaltung und Speicherung von Schlüsseln.
Übersicht zur Keyring-Extraktion
Der keyctl-Systemaufruf, der in der Kernel-Version 2.6.10 eingeführt wurde, ermöglicht es Anwendungen im Benutzerspeicher, mit Kernel-Keyrings zu interagieren. Anmeldeinformationen in Keyrings werden als Komponenten (Standardprinzipal und Anmeldeinformationen) gespeichert, die sich von Datei-ccaches unterscheiden, die ebenfalls einen Header enthalten. Das hercules.sh-Skript aus dem Papier demonstriert das Extrahieren und Rekonstruieren dieser Komponenten in eine verwendbare Datei-ccache für den Diebstahl von Anmeldeinformationen.
Ticket-Extraktionstool: Tickey
Auf den Prinzipien des hercules.sh-Skripts basierend, ist das tickey Tool speziell zum Extrahieren von Tickets aus Keyrings konzipiert und wird über /tmp/tickey -i ausgeführt.
Referenzen
{{#include ../../banners/hacktricks-training.md}}