Dump Mscash/Mscache

Mscache是windows为了在本地缓存域账号凭据而使用的哈希算法，在xp上是Mscache, 此后是Mscachev2。当DC挂了，windows依据Mscache也能验证曾经登录成功过的账户。

与SAM Database一样，MScache也存在注册表中，需要system权限才能访问。

 

Mscache 不会过期，也无法通过pass the hash传递

 

mimikatz 离线dump

reg save HKLM\SYSTEM system & reg save HKLM\security security

 

 

 

mimikatz在线dump  

 

 

可以用hashcat等工具破解mscache，只是没有字典的情况比较难。

这里介绍mimikat的一个修改mscache功能:

mimikatz # privilege::debug
mimikatz # token::elevate
mimikatz # lsadump::cache /user:win7 /password:test1111 /kiwi

已测试关闭DC的情况下，可以用新修改的密码登录win7-pc；参考2里描述了新修改凭据适用范围: While logging in via the reset password works, data secured by DPAPI (Data Protection API) is inaccessible after the change. Programs that leverage DPAPI include: EFS, Microsoft Outlook, Windows Live Mail, and Google Chrome, among others (though notably not Mozilla Firefox).

 

参考:

https://ired.team/offensive-security/credential-access-and-credential-dumping/dumping-and-cracking-mscash-cached-domain-credentials

https://tinyapps.org/docs/domain-cached-credentials.html

 

标签：password,Mscash,Mscache,Dump,mimikatz,credentials,security,save
来源： https://www.cnblogs.com/ring-lcy/p/12497996.html