WCE
windows身份认证过程
http://wenku.baidu.com/view/cf2ee127a5e9856a56126017.html
#特例在登陆的目标服务器/系统,有一个w摘要安全包,会在本地缓存一个明文密码,当注销登陆后,会被删除
WCE (WINDOWS CREDENTIAL EDITOR)
Windows Credentials Editor (WCE)【windows身份验证信息编辑器】是一款功能强大的windows平台内网渗透工具。
作用:它可以列举登陆会话,并且可以添加、改变和删除相关凭据(例如:LM/NT hashes)。这些功能在内网渗透中能够被利用,例如,在windows平台上执行绕过hash或者从内存中获取NT/LM hashes(也可以从交互式登陆、服务、远程桌面连接中获取)以用于进一步的攻击。可以查看系统当前登陆用户的登陆密码的密文形式和明文形式。
要求:具有管理员权限
集成在kali的工具包的windows程序,利用ftp上传下载文件到XP中
#http://write.blog.csdn.net/postedit
为进行更多演示,增加几个账号
-l :查看当前登录账号的密码的密文形式的哈希值【lmhash:nthash】
-lv:表示查看更详细的信息 【注入模式可能会对系统进程造成损坏】
##作用类似pwdump,但原理不同。pwdump是从SMB文件数据库中读取,WCE是从内存
-r:显示当前最新登录信息,5秒刷新一次
-e:可指定刷新时间
-d:指定LUID删除
-g:对给出的一个数进行hash计算
-w:以明文形式读取密码
#修改登录会话,将b的登录会话修改成另一个用户账号
-s:修改
#默认情况下,登录上多用户的服务器中,可以随意查看别人密码,直到win8出现防护设置
防止WCE攻击
系统通过Digest Authentication Package维护明文密码,默认自启动。可去注册表中关闭默认启动
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
删掉最后一行wdigest,连换行符也不能留下【想法:通过修改注册表,可查看系统用户密码】
其他类似工具
fgdump 【一个windows下的应用程序,kali集成】
[email protected]:~# cd /usr/share/windows-binaries/ [email protected]:/usr/share/windows-binaries# ls backdoors fport nbtenum sbd.exe enumplus Hyperion-1.0.zip nc.exe vncviewer.exe exe2bat.exe klogger.exe plink.exe wget.exe fgdump mbenum radmin.exe whoami.exe
神器:mimikatz【还可以用作提权】
#用双冒号查看命令模块和子模块
##privilege::debug 【提权到debug】
##sekurlsa::logonPasswords 【查看登录账号密码信息】
##process【启动进程】
##suspend【挂起进程:可用于植入木马时,暂停防病毒软件】
##resume 【进程恢复】
##service::
##lsadump::
从SAM数据库中读取账号密码【XP中不成功,但在WIN7、win8中可能成功】
##ts:: 【终端服务】默认情况下XP只允许一个活动的登录会话
#打上一个补丁,使会话可以并行,即多用户登录##event::
默认情况下系统会记录日志信息
evnet::clear 【清除安全日志】
event::drop 【不再进行日志记录】
#misc:: 【杂项】
##token::