Harvesting tickets from Linux

Linux中的凭据存储

Linux系统将凭据存储在三种缓存中，即文件（在/tmp目录中）、内核密钥环（Linux内核中的特殊段）和进程内存（用于单进程使用）。/etc/krb5.conf中的default_ccache_name变量显示正在使用的存储类型，默认为FILE:/tmp/krb5cc_%{uid}。

提取凭据

2017年的论文Kerberos凭据窃取（GNU/Linux）概述了从密钥环和进程中提取凭据的方法，强调了Linux内核的密钥环机制用于管理和存储密钥。

密钥环提取概述

引入于内核版本2.6.10的keyctl系统调用允许用户空间应用程序与内核密钥环交互。密钥环中的凭据存储为组件（默认主体和凭据），与还包括头部的文件ccaches不同。论文中的hercules.sh脚本演示了提取和重建这些组件以生成可用于凭据窃取的文件ccache。

凭据提取工具：Tickey

基于hercules.sh脚本的原理，tickey工具专门用于从密钥环中提取票据，通过/tmp/tickey -i执行。

参考资料

• https://www.tarlogic.com/en/blog/how-to-attack-kerberos/