mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
24 lines
1.7 KiB
Markdown
24 lines
1.7 KiB
Markdown
{{#include ../../banners/hacktricks-training.md}}
|
|
|
|
### Przechowywanie poświadczeń w systemie Linux
|
|
|
|
Systemy Linux przechowują poświadczenia w trzech typach pamięci podręcznej, mianowicie **Pliki** (w katalogu `/tmp`), **Kernel Keyrings** (specjalny segment w jądrze Linuxa) oraz **Pamięć Procesu** (do użytku jednego procesu). Zmienna **default_ccache_name** w `/etc/krb5.conf` ujawnia typ używanej pamięci, domyślnie ustawiając na `FILE:/tmp/krb5cc_%{uid}`, jeśli nie jest określona.
|
|
|
|
### Ekstrakcja poświadczeń
|
|
|
|
Artykuł z 2017 roku, [**Kerberos Credential Thievery (GNU/Linux)**](https://www.delaat.net/rp/2016-2017/p97/report.pdf), opisuje metody ekstrakcji poświadczeń z keyrings i procesów, podkreślając mechanizm keyring w jądrze Linuxa do zarządzania i przechowywania kluczy.
|
|
|
|
#### Przegląd ekstrakcji keyring
|
|
|
|
Wywołanie systemowe **keyctl**, wprowadzone w wersji jądra 2.6.10, pozwala aplikacjom w przestrzeni użytkownika na interakcję z kernel keyrings. Poświadczenia w keyrings są przechowywane jako komponenty (domyślny principal i poświadczenia), różniące się od plików ccaches, które również zawierają nagłówek. Skrypt **hercules.sh** z artykułu demonstruje ekstrakcję i rekonstrukcję tych komponentów w używalny plik ccache do kradzieży poświadczeń.
|
|
|
|
#### Narzędzie do ekstrakcji biletów: Tickey
|
|
|
|
Opierając się na zasadach skryptu **hercules.sh**, narzędzie [**tickey**](https://github.com/TarlogicSecurity/tickey) jest specjalnie zaprojektowane do ekstrakcji biletów z keyrings, uruchamiane za pomocą `/tmp/tickey -i`.
|
|
|
|
## Referencje
|
|
|
|
- [**https://www.tarlogic.com/en/blog/how-to-attack-kerberos/**](https://www.tarlogic.com/en/blog/how-to-attack-kerberos/)
|
|
|
|
{{#include ../../banners/hacktricks-training.md}}
|