免责声明
本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。
lsass简介
-
身份验证:lsass.exe负责在用户登录时对其身份进行验证,确定用户是否有权访问和使用操作系统。它可以验证各种类型的用户凭据,包括密码、智能卡和生物学特征。 -
安全策略实施:lsass.exe还负责实施Windows的诸多安全策略,包括密码政策、账户锁定政策和权限管理等。这些政策有助于保护系统的安全,防止未经授权的用户访问。 -
加密密钥管理:lsass.exe还管理着Windows操作系统中的加密密钥,这些密钥用于保护数据的安全和完整性。
生命周期
-
启动:当你启动Windows操作系统时,lsass.exe进程也会自动启动。该进程由系统核心的进程管理服务管理和控制。 -
运行:在系统运行期间,lsass.exe负责处理和管理所有与用户身份验证、密码策略、安全策略等相关的功能。如果系统没有重启,这个进程会一直运行。 -
结束:当你关闭或重启Windows操作系统时,lsass.exe进程也会被优雅地关闭。所有的资源和内存都将被操作系统回收。
lsass中存储着哪些凭据?
根据上文我们可知,lsass进程的一个重要任务就是加密密钥管理,那么lsass中存储的凭据如下:
-
用户名和密码哈希:在进行本地或网络身份验证时,lsass会存储用户输入的用户名和密码的哈希值,用于与系统中存储的信息进行比对。 -
NTLM凭据:这是一种较老的身份验证协议,仍被一些系统和应用程序使用。lsass会存储NTLM哈希,以便在需要使用NTLM协议进行身份验证时使用。 -
Kerberos票据:这是目前Windows环境中常用的身份验证协议。用户成功登录后,lsass会存储用户的Kerberos票据,包括票据授权票(TGT)和服务票据。 -
SSP(安全支持提供者)凭据:这些是特定的插件或程序为进行身份验证或安全通信而存储的凭据,如用于HTTPS的数字证书。 -
数字证书:lsass还可能存储用于身份验证或加密通信的数字证书。 -
密码修改票据:当用户需要修改其密码时,lsass会生成一个特殊的票据来授权这个操作。
转储lsass内存
既然lsass保存着登录凭证,那么我们可以通过dump下一份lsass进程的内存,再分析出其中保存的凭证,就完成了密钥窃取。
dump内存的操作可以使用SysteminternalSuite中的工具Procdump来完成:
执行如下指令转存lsass的内存:
procdump64.exe -accepteula -ma lsass .\lsass.dmp
接着可以使用大名鼎鼎的使用Mimikatz检索凭证:
sekurlsa::minidump lsass.dmpsekurlsa::logonPasswords
简约大气标题
本文讲述了在渗透测试中非常重要的Windows系统进程:lsass。该进程存储着机器凭据,经常被用来做权限维持,后续许多技术也会围绕这个系统进程来展开。
原文始发于微信公众号(赛博安全狗):【权限维持技术】初探Windows系统进程lsass
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论