hacktricks/network-services-pentesting/pentesting-kerberos-88/harvesting-tickets-from-linux.md

14 lines
1.7 KiB
Markdown

### Stockage des Identifiants dans Linux
Les systèmes Linux stockent les identifiants dans trois types de caches, à savoir **Fichiers** (dans le répertoire `/tmp`), **Kernel Keyrings** (un segment spécial dans le noyau Linux) et **Mémoire des Processus** (pour une utilisation par un seul processus). La variable **default\_ccache\_name** dans `/etc/krb5.conf` révèle le type de stockage utilisé, par défaut `FILE:/tmp/krb5cc_%{uid}` si non spécifié.
### Extraction des Identifiants
Le document de 2017, [**Kerberos Credential Thievery (GNU/Linux)**](https://www.delaat.net/rp/2016-2017/p97/report.pdf), décrit des méthodes pour extraire des identifiants des keyrings et des processus, en mettant l'accent sur le mécanisme de keyring du noyau Linux pour gérer et stocker les clés.
#### Aperçu de l'Extraction de Keyring
L'**appel système keyctl**, introduit dans la version 2.6.10 du noyau, permet aux applications en espace utilisateur d'interagir avec les keyrings du noyau. Les identifiants dans les keyrings sont stockés en tant que composants (principal par défaut et identifiants), distincts des caches de fichiers qui incluent également un en-tête. Le **script hercules.sh** du document démontre comment extraire et reconstruire ces composants en un fichier ccache utilisable pour le vol d'identifiants.
#### Outil d'Extraction de Tickets : Tickey
S'appuyant sur les principes du **script hercules.sh**, l'outil [**tickey**](https://github.com/TarlogicSecurity/tickey) est spécifiquement conçu pour extraire des tickets des keyrings, exécuté via `/tmp/tickey -i`.
## Références
* [**https://www.tarlogic.com/en/blog/how-to-attack-kerberos/**](https://www.tarlogic.com/en/blog/how-to-attack-kerberos/)