¿Sabes en qué consiste el Linux Credential Cache? Los ficheros de Kerberos Credential Cache (ccache) contienen las credenciales de Kerberos para los usuarios de dominio que usan máquinas Linux; normalmente se cachean los tickets TGT.
¿Qué es el Linux Credential Cache?
El Linux Credential Cache (caché de credenciales de Linux) es un componente del sistema operativo Linux que almacena temporalmente las credenciales de autenticación de los usuarios. Este caché permite a los usuarios acceder a diferentes recursos y servicios sin tener que ingresar sus credenciales (como nombres de usuario y contraseñas) repetidamente.
Cuando un usuario inicia sesión en un sistema Linux, generalmente proporciona sus credenciales, que son verificadas por el sistema operativo. Si las credenciales son válidas, se crea una entrada en el caché de credenciales para ese usuario. Esta entrada contiene información como el nombre de usuario y un identificador único de sesión.
A medida que el usuario interactúa con el sistema y accede a diferentes recursos, como archivos, impresoras o servicios de red, el sistema operativo utiliza la información almacenada en el caché de credenciales para autenticar al usuario sin solicitar nuevamente sus credenciales. Esto mejora la experiencia del usuario, dado que evita la necesidad de repetir el proceso de autenticación en cada interacción.
El caché de credenciales de Linux puede tener diferentes implementaciones y políticas de gestión dependiendo de la distribución y la configuración del sistema. Algunas distribuciones de Linux utilizan herramientas como Keyring o Gnome Keyring para administrar el caché de credenciales y proporcionar una interfaz gráfica para que los usuarios gestionen sus contraseñas y claves de forma segura.
Funcionamiento del Linux Credential Cache
El Linux Credential Cache es una herramienta que permite almacenar en caché las credenciales para su uso futuro. Las credenciales almacenadas se mantienen en la memoria del proceso del caché en lugar de escribirse en el disco. Para habilitar el caché de credenciales, se puede usar el comando “git config –global credential.helper cache” y establecer el tiempo de espera para recordar las credenciales en segundos con la opción “–timeout”.
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaSi durante un ejercicio Red Team se compromete una máquina Linux, se puede extraer la Linux Credential Cache o ccache de cualquier usuario autenticado y pedir tickets de servicio (TGS) para cualquier servicio del dominio que se tenga habilitado.
Dichos archivos se encuentran ubicados en la ruta /tmp y cuentan con el prefijo krb5cc. Como se puede observar, en muchas ocasiones es necesario contar con permiso de root para el acceso.
Una vez descargado, se debe convertir en un ticket kirbi usable con Mimikatz:
//Linux Credential Cache
$ impacket - ticketConverter <ticket cache> <nuevo ticket .kirbi>
El ticket kirbi y su funcionamiento en el Linux Credential Cache
El archivo .kirbi es un formato de archivo utilizado en el contexto de Kerberos, un protocolo de autenticación de red.
En el contexto de Kerberos, un archivo .kirbi es un archivo binario que contiene un ticket de autenticación. Un ticket de autenticación es un objeto criptográfico emitido por el servidor de autenticación de Kerberos, que se utiliza para verificar la identidad de un usuario en un entorno de red.
El archivo .kirbi generalmente se genera cuando un usuario autenticado en un sistema Kerberos solicita un ticket de autenticación para acceder a recursos en la red. El archivo .kirbi contiene información sobre el usuario autenticado, el servidor de destino, la fecha de expiración del ticket y otros detalles relacionados con la autenticación.
Estos archivos .kirbi se utilizan en varias operaciones relacionadas con Kerberos, como la autenticación de servicios o la delegación de credenciales en entornos distribuidos.
Se puede usar un archivo .kirbi para realizar un ataque pass-the-ticket, en el que el atacante necesitaría robar el archivo .kirbi de una víctima y luego usarlo para autenticarse en el servicio.
¿Quieres seguir aprendiendo?
Ahora que has entendido cómo funciona el Linux Credential Cache, puedes seguir avanzando en tu proceso formativo. Recuerda que puedes seguir aprendiendo sobre esto y mucho más a través de nuestro Ciberseguridad Full Stack Bootcamp, donde descubrirás la mejor manera de proteger los sistemas. Con la guía de esta formación de alta intensidad y nuestros profesores expertos, dominarás todo lo necesario tanto a nivel teórico como práctico para impulsar tu carrera en el sector IT en pocos meses. ¡Accede para sabes más y transforma tu vida!