mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
24 lines
1.7 KiB
Markdown
24 lines
1.7 KiB
Markdown
{{#include ../../banners/hacktricks-training.md}}
|
|
|
|
### Armazenamento de Credenciais no Linux
|
|
|
|
Sistemas Linux armazenam credenciais em três tipos de caches, a saber, **Arquivos** (no diretório `/tmp`), **Keyrings do Kernel** (um segmento especial no kernel do Linux) e **Memória do Processo** (para uso de um único processo). A variável **default_ccache_name** em `/etc/krb5.conf` revela o tipo de armazenamento em uso, padrão para `FILE:/tmp/krb5cc_%{uid}` se não especificado.
|
|
|
|
### Extraindo Credenciais
|
|
|
|
O artigo de 2017, [**Kerberos Credential Thievery (GNU/Linux)**](https://www.delaat.net/rp/2016-2017/p97/report.pdf), descreve métodos para extrair credenciais de keyrings e processos, enfatizando o mecanismo de keyring do kernel Linux para gerenciar e armazenar chaves.
|
|
|
|
#### Visão Geral da Extração de Keyring
|
|
|
|
A **chamada de sistema keyctl**, introduzida na versão 2.6.10 do kernel, permite que aplicações em espaço de usuário interajam com keyrings do kernel. Credenciais em keyrings são armazenadas como componentes (principal padrão e credenciais), distintas dos ccaches de arquivo que também incluem um cabeçalho. O **script hercules.sh** do artigo demonstra a extração e reconstrução desses componentes em um arquivo ccache utilizável para roubo de credenciais.
|
|
|
|
#### Ferramenta de Extração de Tickets: Tickey
|
|
|
|
Baseando-se nos princípios do **script hercules.sh**, a [**tickey**](https://github.com/TarlogicSecurity/tickey) é uma ferramenta especificamente projetada para extrair tickets de keyrings, executada via `/tmp/tickey -i`.
|
|
|
|
## Referências
|
|
|
|
- [**https://www.tarlogic.com/en/blog/how-to-attack-kerberos/**](https://www.tarlogic.com/en/blog/how-to-attack-kerberos/)
|
|
|
|
{{#include ../../banners/hacktricks-training.md}}
|