LSA 机密

LSA，即 Local Security Authority，本地安全机构，是 Microsoft Windows 操作系统中安全子系统的核心组件。本地安全机构 (LSA) 负责管理系统的交互式登录、给用户分发安全访问令牌、实施本地安全策略等。 而LSA 机密是 Windows 中本地安全机构 (LSA) 使用的存储。

LSA 的目的是管理系统的本地安全策略，根据定义，这意味着它将存储有关用户登录、用户身份验证及其 LSA 机密等的私人数据。只有 SYSTEM 权限才可以访问 LSA 机密。LSA 机密所存储系统敏感数据有用户密码、IE 密码、服务帐号密码、SQL 密码、系统账户密码、计划任务中配置的帐号密码等。

提取 LSA 机密同样有多种方法，都类似于提取 SAM 中的凭证。

在线导出

目前大部分 C2 尚未集成导出 LSA 机密的命令或功能，但我们可以依旧使用 mimikatz 或者 Impacket 导出。导出 LSA 机密的命令为 lsadump::secrets

离线导出

LSA 机密被保存在注册表的 HKEY_LOCAL_MACHINE\SECURITY\Policy\Secrets 位置，而文件则位于 C:\Windows\System32\Config\SECURITY。

注册表 Hive HKLM\SECURITY 中存储了明文密码、域缓存凭证、NTLM 哈希等形式的凭证。

reg save HKLM\SYSTEM C:\Windows\Tasks\SYSTEM
reg save HKLM\SECURITY C:\Windows\Tasks\SECURITY