Dump Mscash/Mscache

Mscache是windows为了在本地缓存域账号凭据而使用的哈希算法,在xp上是Mscache, 此后是Mscachev2。当DC挂了,windows依据Mscache也能验证曾经登录成功过的账户。

与SAM Database一样,MScache也存在注册表中,需要system权限才能访问。

 

Mscache 不会过期,也无法通过pass the hash传递

 

mimikatz 离线dump

reg save HKLM\SYSTEM system & reg save HKLM\security security

Dump Mscash/Mscache

 

 

 

mimikatz在线dump  

Dump Mscash/Mscache

 

 

可以用hashcat等工具破解mscache,只是没有字典的情况比较难。

这里介绍mimikat的一个修改mscache功能:


mimikatz # privilege::debug mimikatz # token::elevate mimikatz # lsadump::cache /user:win7 /password:test1111 /kiwi

已测试关闭DC的情况下,可以用新修改的密码登录win7-pc;参考2里描述了新修改凭据适用范围: While logging in via the reset password works, data secured by DPAPI (Data Protection API) is inaccessible after the change. Programs that leverage DPAPI include: EFS, Microsoft Outlook, Windows Live Mail, and Google Chromeamong others (though notably not Mozilla Firefox).

 

参考:

https://ired.team/offensive-security/credential-access-and-credential-dumping/dumping-and-cracking-mscash-cached-domain-credentials

https://tinyapps.org/docs/domain-cached-credentials.html

 

上一篇:java json与map互相转换(二)


下一篇:请求服务器报错 Access-Control-Allow-Origin