提权(七) WCE

WCE

( Windows Credential Editor )

翻译过来就是windows凭证编辑器，可以完成抓取内存中的密码，或者说可以任意操纵认证信息

这个工具运行要求有管理员权限

在Kali 中默认集成了，Kali中的WCE是1.41版本，我看官网已经有新版本了 在1.41版本中有一个32位和64位通用版，1.42版本中好像还没有通用版

WCE官方给了我们使用手册，包括整个验证过程，抓取过程，以及后续的可能Pass The Hash等等的过程，所以这里我就主要介绍常用的功能

wce.exe -l

列出当前内存中的所有已登录账号及其hash

如果想要更加详细的信息，可以加上 –v 参数

wce.exe –g aaa

计算aaa加密后的LM及其NTLM的值

wce.exe –w

利用wdigest安全包直接读取明文密码

以上几个是最常用的参数了，下面我们来进行实验

先创建一个用户ads，密码admin888*

之后我们使用这个账户登录一下，让内存中产生密码，之后在切换回我们当前用户

此时我们在管理员权限下看一看能不能获取到相关信息

可以看到意境登录的用户名和Hash已经被dump出来了，接下来我们看看详细信息

这里可以看到一个安全模式的问题

这里我还要简单说一说，wce有两种模式，一种是安全模式，一种是非安全的

非安全模式会对系统服务组件等进行一定的变动，可能会造成系统的不稳定，可以使用-f 使用安全模式，不过安全模式获取信息的能力较差

下面我们来测试一下计算hash的功能

假如我们要计算admin经过加密后是什么

接下来还是看看我们最期待的功能吧

可以看到直接读取出了ads的密码

可能大家会对此产生疑问，你分明有三个账户登录，为什么只读取到了一个的？

其实是因为另外两个都没有密码，我为了方便就没设定

那这样是不是说我们就任由别人查看密码了呢？

其实是有补救措施的，我们需要对注册表进行相关修改

找到这个注册表项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SecurityPackages

删除其中的wgigest选项

删除之后WCE就无法再查看我们的明文密码了

最后附上官方手册

http://www.ampliasecurity.com/research/wce12_uba_ampliasecurity_eng.pdf