HackTricks

Stockage des Identifiants dans Linux

Les systèmes Linux stockent les identifiants dans trois types de caches, à savoir Fichiers (dans le répertoire /tmp), Keyrings du Noyau (un segment spécial dans le noyau Linux) et Mémoire des Processus (pour une utilisation par un seul processus). La variable default_ccache_name dans /etc/krb5.conf révèle le type de stockage utilisé, par défaut FILE:/tmp/krb5cc_%{uid} si non spécifié.

Extraction des Identifiants

Le document de 2017, Kerberos Credential Thievery (GNU/Linux), décrit des méthodes pour extraire des identifiants des keyrings et des processus, en mettant l'accent sur le mécanisme de keyring du noyau Linux pour gérer et stocker les clés.

Aperçu de l'Extraction de Keyring

L'appel système keyctl, introduit dans la version 2.6.10 du noyau, permet aux applications de l'espace utilisateur d'interagir avec les keyrings du noyau. Les identifiants dans les keyrings sont stockés en tant que composants (principal par défaut et identifiants), distincts des ccaches de fichiers qui incluent également un en-tête. Le script hercules.sh du document démontre comment extraire et reconstruire ces composants en un fichier ccache utilisable pour le vol d'identifiants.

Outil d'Extraction de Ticket : Tickey

S'appuyant sur les principes du script hercules.sh, l'outil tickey est spécifiquement conçu pour extraire des tickets des keyrings, exécuté via /tmp/tickey -i.

Références

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/