WCE
( Windows Credential Editor )
翻译过来就是windows凭证编辑器,可以完成抓取内存中的密码,或者说可以任意操纵认证信息
这个工具运行要求有管理员权限
在Kali 中默认集成了,Kali中的WCE是1.41版本,我看官网已经有新版本了 在1.41版本中有一个32位和64位通用版,1.42版本中好像还没有通用版
WCE官方给了我们使用手册,包括整个验证过程,抓取过程,以及后续的可能Pass The Hash等等的过程,所以这里我就主要介绍常用的功能
wce.exe -l
列出当前内存中的所有已登录账号及其hash
如果想要更加详细的信息,可以加上 –v 参数
wce.exe –g aaa
计算aaa加密后的LM及其NTLM的值
wce.exe –w
利用wdigest安全包直接读取明文密码
以上几个是最常用的参数了,下面我们来进行实验
先创建一个用户ads,密码admin888*
之后我们使用这个账户登录一下,让内存中产生密码,之后在切换回我们当前用户
此时我们在管理员权限下看一看能不能获取到相关信息
可以看到意境登录的用户名和Hash已经被dump出来了,接下来我们看看详细信息
这里可以看到一个安全模式的问题
这里我还要简单说一说,wce有两种模式,一种是安全模式,一种是非安全的
非安全模式会对系统服务组件等进行一定的变动,可能会造成系统的不稳定,可以使用-f 使用安全模式,不过安全模式获取信息的能力较差
下面我们来测试一下计算hash的功能
假如我们要计算admin经过加密后是什么
接下来还是看看我们最期待的功能吧
可以看到直接读取出了ads的密码
可能大家会对此产生疑问,你分明有三个账户登录,为什么只读取到了一个的?
其实是因为另外两个都没有密码,我为了方便就没设定
那这样是不是说我们就任由别人查看密码了呢?
其实是有补救措施的,我们需要对注册表进行相关修改
找到这个注册表项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SecurityPackages
删除其中的wgigest选项
删除之后WCE就无法再查看我们的明文密码了
最后附上官方手册
http://www.ampliasecurity.com/research/wce12_uba_ampliasecurity_eng.pdf