HackTricks

Linux'te Kimlik Bilgisi Depolama

Linux sistemleri, kimlik bilgilerini üç tür önbellekte depolar: Dosyalar (/tmp dizininde), Kernel Anahtar Halkaları (Linux çekirdeğinde özel bir segment) ve Süreç Belleği (tek süreç kullanımı için). /etc/krb5.conf dosyasındaki default_ccache_name değişkeni, kullanılan depolama türünü gösterir; belirtilmemişse varsayılan olarak FILE:/tmp/krb5cc_%{uid} değerini alır.

Kimlik Bilgilerini Çıkarma

2017 tarihli Kerberos Credential Thievery (GNU/Linux) makalesi, anahtar halkalarından ve süreçlerden kimlik bilgilerini çıkarmak için yöntemleri özetlemekte ve Linux çekirdeğinin anahtar halkası mekanizmasını vurgulamaktadır.

Anahtar Halkası Çıkarma Genel Görünümü

keyctl sistem çağrısı, 2.6.10 çekirdek sürümünde tanıtılmıştır ve kullanıcı alanı uygulamalarının çekirdek anahtar halkalarıyla etkileşimde bulunmasına olanak tanır. Anahtar halkalarındaki kimlik bilgileri, dosya önbelleklerinden farklı olarak bileşenler (varsayılan ilke ve kimlik bilgileri) olarak depolanır; dosya önbellekleri ayrıca bir başlık içerir. Makaleden alınan hercules.sh scripti, bu bileşenleri çıkarıp kullanılabilir bir dosya önbelleğine yeniden yapılandırmayı göstermektedir.

Bilet Çıkarma Aracı: Tickey

hercules.sh scripti ilkelerine dayanarak, tickey aracı, anahtar halkalarından bilet çıkarmak için özel olarak tasarlanmıştır ve /tmp/tickey -i komutuyla çalıştırılır.

Referanslar

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/