Ccache 文件

对手可能会尝试窃取存储在凭据缓存文件（或 ccache）中的 Kerberos 票证。这些文件用于短期存储用户的活动会话凭据。ccache 文件在用户身份验证时创建，允许访问多个服务而无需用户重新输入凭据。 /etc/krb5.conf 配置文件和 KRB5CCNAME 环境变量用于设置 ccache 条目的存储位置。在 Linux 上，凭据通常存储在 /tmp 目录中，命名格式为 krb5cc_%UID% 或 krb5.ccache。在 macOS 上，ccache 条目默认存储在内存中，命名方案为 API:{uuid}。通常，用户使用 kinit 与票证存储交互，该命令为主体获取票证授予票证 (TGT)；klist，列出凭据缓存中当前持有的已获取票证；以及其他内置二进制文件。(引用: Kerberos GNU/Linux)(引用: Binary Defense Kerberos Linux) 对手可以从存储在磁盘上的 ccache 文件中收集票证，并在不需要密码的情况下以当前用户身份进行身份验证以执行 传递票证 攻击。对手还可以使用这些票证冒充具有提升权限的合法用户以执行 权限提升。对手可以使用 Kekeo 等工具将 ccache 文件转换为 Windows 格式以进行进一步的 横向移动。在 macOS 上，对手可能会使用开源工具或 Kerberos 框架通过低级 API 与 ccache 文件交互并提取 TGT 或服务票证。(引用: SpectorOps Bifrost Kerberos macOS 2019)(引用: Linux Kerberos Tickets)(引用: Brining MimiKatz to Unix)(引用: Kekeo)