Búsqueda de Credenciales en Linux

#linux #credenciales #post-exploitation #hunting #seguridad #mimipenguin #laZagne #firefox-decrypt #lazagne #mimipenguino #tools

La búsqueda de credenciales es uno de los primeros pasos tras obtener acceso a un sistema Linux. Permite escalar privilegios y acceder a usuarios adicionales. Se centra en cuatro fuentes principales:

📁 Archivos: configuraciones, bases de datos, notas, scripts, cronjobs, claves SSH.
📜 Historial: registros e historial de comandos.
💾 Memoria: caché y procesos en memoria.
🔑 Keyrings: credenciales guardadas en navegadores y llaveros del sistema.

💡 Tip: Adapta la búsqueda al entorno. Por ejemplo, un servidor de base de datos aislado probablemente no tendrá usuarios normales.

1️⃣ Archivos

En Linux todo es un archivo. Categorías clave:

⚙️ Archivos de configuración (.conf, .config, .cnf): contienen credenciales y config de servicios.

for l in $(echo ".conf .config .cnf"); do
find / -name *$l 2>/dev/null | grep -v "lib\|fonts\|share\|core"

done
```

🗄️ Bases de datos (.sql, .db, .*db, .db*): posibles credenciales.
📝 Notas: .txt o sin extensión, pueden contener contraseñas o usuarios.
```
find /home/* -type f -name "*.txt" -o ! -name "*.*"
```
``` bash
find /* -type f -name ".txt" -o ! -name ".*"
📜 Scripts (.sh, .py, .pl, .go, .jar, .c): credenciales para procesos automáticos.
⏱️ Cronjobs: ubicaciones /etc/crontab, /etc/cron.d/, /etc/cron.daily/, etc.

cat /etc/crontab ls -la /etc/cron.*/

2️⃣ Historial y logs

🖋️ Historial de comandos: .bash_history, .bashrc, .bash_profile.
```
tail -n5 /home/*/.bash*
```
📂 Archivos de log: ubicados en /var/log/.
- /var/log/messages, /var/log/syslog → actividad general.
- /var/log/auth.log (Debian) o /var/log/secure (RedHat) → autenticación.
- /var/log/boot.log → arranque.
- /var/log/dmesg, /var/log/kern.log → hardware y kernel.
- /var/log/cron, /var/log/mail.log, /var/log/httpd, /var/log/mysqld.log → aplicaciones y servicios.
```
for i in $(ls /var/log/* 2>/dev/null); do
grep "accepted\|failed\|ssh\|sudo" $i 2>/dev/null
```

done
```

3️⃣ Memoria y caché

🐧 Mimipengüino: extrae credenciales de la memoria (root requerido).
```
sudo python3 mimipenguin.py
```
🛠️ LaZagne: extrae credenciales de múltiples fuentes: Wifi, navegadores, SSH, Git, Docker…
```
sudo python2.7 laZagne.py all
```

4️⃣ Credenciales del navegador

🦊 Firefox: guarda credenciales cifradas en logins.json dentro del perfil del usuario.
🔓 Firefox Decrypt: descifra credenciales (requiere Python 3.9).
```
python3.9 firefox_decrypt.py
```
LaZagne también puede extraer credenciales de navegadores:
```
python3 laZagne.py browsers
```

✅ Conclusión

🔹 Para buscar credenciales en Linux hay que revisar archivos, historial, logs, memoria y keyrings.
🔹 Herramientas útiles: Mimipengüino, LaZagne, Firefox Decrypt.
🔹 Siempre adapta tu estrategia al entorno y tipo de sistema.