Harvesting tickets from Linux
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Системи Linux зберігають облікові дані в трьох типах кешів, а саме Файли (в каталозі /tmp), Ключові кільця ядра (спеціальний сегмент у ядрі Linux) та Пам'ять процесу (для використання в одному процесі). Змінна default_ccache_name у файлі /etc/krb5.conf вказує на тип зберігання, за замовчуванням використовуючи FILE:/tmp/krb5cc_%{uid}, якщо не вказано інше.
У статті 2017 року, Крадіжка облікових даних Kerberos (GNU/Linux), описуються методи витягування облікових даних з ключових кілець і процесів, підкреслюючи механізм ключових кілець ядра Linux для управління та зберігання ключів.
Огляд витягування з ключового кільця
Системний виклик keyctl, введений у версії ядра 2.6.10, дозволяє додаткам користувацького простору взаємодіяти з ключовими кільцями ядра. Облікові дані в ключових кільцях зберігаються як компоненти (основний принципал та облікові дані), відмінні від файлових кешів, які також включають заголовок. Скрипт hercules.sh з статті демонструє витягування та реконструкцію цих компонентів у використовуваний файл кешу для крадіжки облікових даних.
Інструмент для витягування квитків: Tickey
Спираючись на принципи скрипта hercules.sh, інструмент tickey спеціально розроблений для витягування квитків з ключових кілець, виконується через /tmp/tickey -i.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
