# 域缓存凭证

当域用户曾经登陆过域主机，便会将凭证缓存下来，以防联系不上域控制器的时候也能实现本地登陆。一个实际的情景可以是，某员工携带着笔记本出差。域缓存凭证不能直接地用于认证，但是可以将其离线破解，尝试还原出明文密码。

我们之前在使用 Impacket 导出 LSA 机密的时候，发现了下图所标注出来的域缓存凭证。实际上，这些缓存凭证存在于 **HKLM\\SECURITY** 注册表 Hive。

[![image.png](https://raven-medicine.com/uploads/images/gallery/2023-05/scaled-1680-/o5o0WVQpJHak5fIE-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-05/o5o0WVQpJHak5fIE-image.png)

我们还可以通过 Mimikatz 的命令 **lsadump::cache** 来提取。

[![image.png](https://raven-medicine.com/uploads/images/gallery/2023-05/scaled-1680-/WSDmMaF9O5PXUedU-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-05/WSDmMaF9O5PXUedU-image.png)

但我们发现 mimikatz 提取出来的缓存凭证与 Impacket 提取出来的格式不同，我们需要手动将其转换成 **$DCC2$<迭代数>#<用户名>#<哈希>** 格式，然后再使用 hashcat 之类的工具离线破解。