HackTricks

Armazenamento de Credenciais no Linux

Sistemas Linux armazenam credenciais em três tipos de caches, a saber, Arquivos (no diretório /tmp), Keyrings do Kernel (um segmento especial no kernel do Linux) e Memória do Processo (para uso de um único processo). A variável default_ccache_name em /etc/krb5.conf revela o tipo de armazenamento em uso, padrão para FILE:/tmp/krb5cc_%{uid} se não especificado.

Extraindo Credenciais

O artigo de 2017, Kerberos Credential Thievery (GNU/Linux), descreve métodos para extrair credenciais de keyrings e processos, enfatizando o mecanismo de keyring do kernel Linux para gerenciar e armazenar chaves.

Visão Geral da Extração de Keyring

A chamada de sistema keyctl, introduzida na versão 2.6.10 do kernel, permite que aplicações em espaço de usuário interajam com keyrings do kernel. Credenciais em keyrings são armazenadas como componentes (principal padrão e credenciais), distintas dos ccaches de arquivo que também incluem um cabeçalho. O script hercules.sh do artigo demonstra a extração e reconstrução desses componentes em um arquivo ccache utilizável para roubo de credenciais.

Ferramenta de Extração de Tickets: Tickey

Baseando-se nos princípios do script hercules.sh, a tickey é uma ferramenta especificamente projetada para extrair tickets de keyrings, executada via /tmp/tickey -i.

Referências

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/