mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-18 09:03:30 +00:00
14 lines
1.6 KiB
Markdown
14 lines
1.6 KiB
Markdown
### Armazenamento de Credenciais no Linux
|
|
Sistemas Linux armazenam credenciais em três tipos de caches, a saber **Arquivos** (no diretório `/tmp`), **Keyrings do Kernel** (um segmento especial no kernel do Linux) e **Memória do Processo** (para uso de um único processo). A variável **default\_ccache\_name** em `/etc/krb5.conf` revela o tipo de armazenamento em uso, padrão para `FILE:/tmp/krb5cc_%{uid}` se não especificado.
|
|
|
|
### Extraindo Credenciais
|
|
O artigo de 2017, [**Kerberos Credential Thievery (GNU/Linux)**](https://www.delaat.net/rp/2016-2017/p97/report.pdf), descreve métodos para extrair credenciais de keyrings e processos, enfatizando o mecanismo de keyring do kernel Linux para gerenciar e armazenar chaves.
|
|
|
|
#### Visão Geral da Extração de Keyring
|
|
A **chamada de sistema keyctl**, introduzida na versão 2.6.10 do kernel, permite que aplicativos de espaço do usuário interajam com keyrings do kernel. Credenciais em keyrings são armazenadas como componentes (principal padrão e credenciais), distintas dos caches de arquivos que também incluem um cabeçalho. O **script hercules.sh** do artigo demonstra a extração e reconstrução desses componentes em um arquivo ccache utilizável para roubo de credenciais.
|
|
|
|
#### Ferramenta de Extração de Tickets: Tickey
|
|
Baseando-se nos princípios do **script hercules.sh**, a ferramenta [**tickey**](https://github.com/TarlogicSecurity/tickey) é projetada especificamente para extrair tickets de keyrings, executada via `/tmp/tickey -i`.
|
|
|
|
## Referências
|
|
* [**https://www.tarlogic.com/en/blog/how-to-attack-kerberos/**](https://www.tarlogic.com/en/blog/how-to-attack-kerberos/)
|