Mscache son ventanas al algoritmo de hash caché local credenciales de la cuenta de dominio y uso en XP se Mscache, se sigue Mscachev2. Cuando colgó DC, ventanas también pueden ser verificados de acuerdo con Mscache han tenido éxito cuenta de inicio de sesión.
Al igual que con la base de datos SAM, también MScache presente en el registro, necesita permiso para acceder al sistema.
Mscache no caducan y no puede pasar a través del paso del hash
volcado en línea mimikatz
reg salvar el sistema & registro HKLM \ SYSTEM Guardar HKLM \ security seguridad
volcado en línea mimikatz
Hashcat puede romper mscache con otras herramientas, pero la situación más difícil sin un diccionario.
Aquí están mimikat A modificada mscache características:
mimikatz # privilegio de depuración ::
mimikatz # símbolo :: Elevate
mimikatz # lsadump :: caché / user: Win7 / contraseña: test1111 / kiwi
El caso ha sido probado cerrado CC, puede utilizar la contraseña de inicio de sesión recientemente revisado win7-PC, la referencia 2 en la descripción de una nueva credenciales modificados Alcance: el Si bien la tala en Via disponibles en The Works restablecimiento de la contraseña, los datos seguros por DPAPI (la API de protección de datos) es inaccesible Programas de cambio en la influencia que la Después de la DPAPI incluyen :. EFS, en Microsoft Outlook, Windows Live mail y Google Chrome , entre otros (aunque sobre todo no Mozilla Firefox ).
referencia:
https://tinyapps.org/docs/domain-cached-credentials.html