缓存的域凭据

对手可能会尝试访问缓存的域凭据，以便在域控制器不可用的情况下允许进行身份验证。(引用: Microsoft - Cached Creds) 在 Windows Vista 及更高版本上，哈希格式为 DCC2（域缓存凭据版本 2）哈希，也称为 MS-Cache v2 哈希。(引用: PassLib mscache) 默认缓存的凭据数量各不相同，可以按系统进行更改。此哈希不允许传递哈希样式攻击，而是需要密码破解来恢复明文密码。(引用: ired mscache) 在 Linux 系统上，可以通过 System Security Services Daemon (SSSD) 或 Quest Authentication Services（前身为 VAS）等软件访问 Active Directory 凭据。缓存的凭据哈希通常位于 /var/lib/sss/db/cache.[domain].ldb（用于 SSSD）或 /var/opt/quest/vas/authcache/vas_auth.vdb（用于 Quest）。对手可以在这些数据库文件上使用 tdbdump 等实用程序转储缓存的哈希，并使用密码破解获取明文密码。(引用: Brining MimiKatz to Unix) 具有 SYSTEM 或 sudo 访问权限的工具/实用程序，例如 Mimikatz、Reg 和 Windows 的 secretsdump.py 或 Linux 的 Linikatz 可用于提取缓存的凭据。(引用: Brining MimiKatz to Unix) 注意：Windows Vista 的缓存凭据是使用 PBKDF2 派生的。(引用: PassLib mscache)