域缓存凭证

当域用户曾经登陆过域主机，便会将凭证缓存下来，以防联系不上域控制器的时候也能实现本地登陆。一个实际的情景可以是，某员工携带着笔记本出差。域缓存凭证不能直接地用于认证，但是可以将其离线破解，尝试还原出明文密码。

我们之前在使用 Impacket 导出 LSA 机密的时候，发现了下图所标注出来的域缓存凭证。实际上，这些缓存凭证存在于 HKLM\SECURITY 注册表 Hive。

我们还可以通过 Mimikatz 的命令 lsadump::cache 来提取。

但我们发现 mimikatz 提取出来的缓存凭证与 Impacket 提取出来的格式不同，我们需要手动将其转换成 $DCC2$<迭代数>#<用户名>#<哈希> 格式，然后再使用 hashcat 之类的工具离线破解。