HackTricks

Almacenamiento de Credenciales en Linux

Los sistemas Linux almacenan credenciales en tres tipos de cachés, a saber, Archivos (en el directorio /tmp), Kernel Keyrings (un segmento especial en el núcleo de Linux) y Memoria de Proceso (para uso de un solo proceso). La variable default_ccache_name en /etc/krb5.conf revela el tipo de almacenamiento en uso, que por defecto es FILE:/tmp/krb5cc_%{uid} si no se especifica.

Extracción de Credenciales

El artículo de 2017, Kerberos Credential Thievery (GNU/Linux), describe métodos para extraer credenciales de keyrings y procesos, enfatizando el mecanismo de keyring del núcleo de Linux para gestionar y almacenar claves.

Visión General de la Extracción de Keyring

La llamada al sistema keyctl, introducida en la versión 2.6.10 del núcleo, permite a las aplicaciones de espacio de usuario interactuar con los keyrings del núcleo. Las credenciales en los keyrings se almacenan como componentes (principal y credenciales predeterminadas), distintos de los ccaches de archivos que también incluyen un encabezado. El script hercules.sh del artículo demuestra cómo extraer y reconstruir estos componentes en un ccache de archivo utilizable para el robo de credenciales.

Herramienta de Extracción de Tickets: Tickey

Basándose en los principios del script hercules.sh, la herramienta tickey está diseñada específicamente para extraer tickets de keyrings, ejecutándose a través de /tmp/tickey -i.

Referencias

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/