### Armazenamento de Credenciais no Linux Sistemas Linux armazenam credenciais em três tipos de caches, a saber **Arquivos** (no diretório `/tmp`), **Keyrings do Kernel** (um segmento especial no kernel do Linux) e **Memória do Processo** (para uso de um único processo). A variável **default\_ccache\_name** em `/etc/krb5.conf` revela o tipo de armazenamento em uso, padrão para `FILE:/tmp/krb5cc_%{uid}` se não especificado. ### Extraindo Credenciais O artigo de 2017, [**Kerberos Credential Thievery (GNU/Linux)**](https://www.delaat.net/rp/2016-2017/p97/report.pdf), descreve métodos para extrair credenciais de keyrings e processos, enfatizando o mecanismo de keyring do kernel Linux para gerenciar e armazenar chaves. #### Visão Geral da Extração de Keyring A **chamada de sistema keyctl**, introduzida na versão 2.6.10 do kernel, permite que aplicações em espaço de usuário interajam com keyrings do kernel. Credenciais em keyrings são armazenadas como componentes (principal padrão e credenciais), distintas de caches de arquivos que também incluem um cabeçalho. O **script hercules.sh** do artigo demonstra a extração e reconstrução desses componentes em um arquivo ccache utilizável para roubo de credenciais. #### Ferramenta de Extração de Tickets: Tickey Baseando-se nos princípios do **script hercules.sh**, a ferramenta [**tickey**](https://github.com/TarlogicSecurity/tickey) é projetada especificamente para extrair tickets de keyrings, executada via `/tmp/tickey -i`. ## Referências * [**https://www.tarlogic.com/en/blog/how-to-attack-kerberos/**](https://www.tarlogic.com/en/blog/how-to-attack-kerberos/)