• 欢迎访问本站网站,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏吧

hash抓取工具(WCE)支持Windows XP、2003、Vista、7、2008和8

网络安全 admin 9个月前 (10-31) 435次浏览 已收录 0个评论 扫描二维码

NTLM身份验证:

*列出登录会话并添加、更改、列出和删除相关凭据(例如:LM/NT哈希)

*在Windows上以本机方式执行传递哈希

*从内存(从交互式登录、服务、远程桌面连接等)获取NT/LM哈希,可以

用于向其他系统进行身份验证。WCE无需注入代码即可执行此任务,只需读取和解密存储在Windows内部内存结构中的信息。它还能够在上述方法无法执行时自动切换到代码注入

 

Kerberos身份验证:

*转储存储在Windows计算机中的Kerberos票证(包括TGT)

*在另一台Windows计算机上重用/加载这些票证,以便对其他系统和服务进行身份验证

*在*Unix计算机上重用/加载这些票证,以便对其他系统和服务进行身份验证

摘要式身份验证:

*获取用户登录Windows系统时输入的明文密码,并由Windows摘要身份验证安全包存储

支持的平台

——————-

Windows凭据支持Windows XP、2003、Vista、7、2008和8。

要求

————

此工具需要管理员权限来转储和添加/删除/更改NTLM凭据,以及转储由Windows摘要身份验证安全包存储的明文密码。

Kerberos票证可以作为普通用户获得,但是根据系统的配置,可能需要管理员权限才能获得会话密钥。

请记住这是一个攻击和后利用工具。

——–

Windows凭据编辑器提供以下选项:

参数:

-l           列出登录会话和NTLM凭据(默认)。

-s          更改当前登录会话的NTLM凭据。

-r         无限期地列出登录会话和NTLM凭据。如果找到新会话,每5秒刷新一次。

-c         使用指定的NTLM凭据在新会话中运行<cmd>。

-e         无限期地列出登录会话NTLM凭据。

-o         将所有输出保存到文件中。

-d         从登录会话中删除NTLM凭据。

-f          强制“安全模式”。

-K         将Kerberos票证转储到文件(unix和’windows wce’表单)

-k         从文件中读取Kerberos票证并插入Windows隐藏

-w         Dump摘要认证包存储的明文密码

-v         详细输出。

示例:

*列出当前登录会话

C:\>wce.exe -lv

hash抓取工具(WCE)支持Windows XP、2003、Vista、7、2008和8

C: \>wce-e

*无限期运行WCE,等待新的凭据/登录会话

默认情况下每5秒刷新一次。

C: \>wce-r

*无限期运行WCE,等待新的凭据/登录会话,但每1秒刷新一次(默认情况下,WCE每5秒刷新一次)

附加信息

———————-

* http://www.ampliasecurity.com/research.html

* http://www.ampliasecurity.com/research/wcefaq.html

* http://www.ampliasecurity.com/research/WCE_Internals_RootedCon2011_ampliasecurity.pdf

* http://www.ampliasecurity.com/research/wce12_uba_ampliasecurity_eng.pdf

 

kali 存放wce的路径 /usr/share/windows-resources/wce

kali 存放其他windows工具的路径/usr/share/windows-resources    和      /usr/share/windows-binaries


本站的文章和资源来自互联网或者站长的原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:hash抓取工具(WCE)支持Windows XP、2003、Vista、7、2008和8
喜欢 (3)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址