Domain Cached Credentials

前言:发现很多人都不知道这是啥玩意，科普一下。

1.什么是Domain Cached Credentials

Windows 将以前用户的登录信息缓存在本地，当断网用户无法向域控认证的时候，域用户依旧可以登陆计算机。

如果域控制器不可用并且用户的登录信息被缓存，用户将收到一个对话框提示：

无法联系您的域的域控制器。您已使用缓存的帐户信息登录。自上次登录以来对您的个人资料所做的更改可能不可用。

禁用缓存后，系统会提示用户以下消息：

系统现在无法让您登录，因为域 <DOMAIN_NAME> 不可用。

注册表位置:

HKEY_LOCAL_MACHINESECURITYCache

注册表缓存次数设置:

Location: HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogonValue name: CachedLogonsCountData type: REG_SZValues: 0 - 50

组策略缓存次数设置:

2.加密算法

MSDCC1:存在于windows xp和2003

算法:

MSDCC1 = MD4 (NT HASH + LowerUnicode(username))

python 库

>>> from passlib.hash import msdcc

>>> # hash password using specified username
>>> hash = msdcc.hash("password", user="Administrator")
>>> hash
'25fd08fa89795ed54207e6e8442a6ca0'

>>> # verify correct password
>>> msdcc.verify("password", hash, user="Administrator")
True
>>> # verify correct password w/ wrong username
>>> msdcc.verify("password", hash, user="User")
False
>>> # verify incorrect password
>>> msdcc.verify("letmein", hash, user="Administrator")
False

hashcat 破解:

hashcat -m 1100 

MSDCC2:存在于windows NT以上版本

算法:

DCC2 = PBKDF2(HMAC-SHA1, Iterations, DCC1, LowerUnicode(username))

‍

python 库

>>> from passlib.hash import msdcc2

>>> # hash password using specified username
>>> hash = msdcc2.hash("password", user="Administrator")
>>> hash
'4c253e4b65c007a8cd683ea57bc43c76'

>>> # verify correct password
>>> msdcc2.verify("password", hash, user="Administrator")
True
>>> # verify correct password w/ wrong username
>>> msdcc2.verify("password", hash, user="User")
False
>>> # verify incorrect password
>>> msdcc2.verify("letmein", hash, user="Administrator")
False

hashcat 破解:

hashcat -m 2100 '$DCC2$10240#username#hash' 

3.利用方式

这利用方式除了破解之外还有一个就是替换域缓存hash，这样就可以在不知密码的情况下登录，但是需要超管权限。既然有超管权限我还需要登陆干嘛，这利用方式有点迷

本文始发于微信公众号（边界骇客）：Domain Cached Credentials