Windows Credentials Editor

Windows Credentials Editor (WCE, ウィンドウズクレデンシャルズエディター) とは、Windows ログインセッションをリスト化し、クレデンシャル(LMハッシュ, NTLMハッシュ、kerberos チケットや平文のパスワードなど)の追加や削除、リスト、削除ができるセキュリティツールです。

読み方

Windows Credentials Editor

うぃんどうず くれでんしゃるず えでぃたー

WCE

だぶりゅー しー いー

概要

WCE ができることは、以下の通りです。

• Windows で Pass the Hash (Pass-the-Hash) を行う
  • ログインセッションのNTLMクレデンシャルの変更と削除
  • 新規ログインセッションの作成と任意のNTLMクレデンシャルの関連付け
• メモリから NTLMハッシュ を奪取する(コードインジェクションの有無に関わらず)
  • ログインセッションのリストと復号
• wce.exe １つあれば、実行できる
  • 簡単に利用、アップロードなどができる
• Windows マシンから kerberos チケット を奪取する
• 奪取した kerberos チケットを使って、ほかの Windows や Unix マシンのシステムやサービスにアクセスする。
• Windows 認証パッケージによって保存されている平文のパスワード をダンプする。

WCE は、セキュリティプロフェッショナルによって、ペネトレーションテストを通して、Windows ネットワークのセキュリティアクセスのために幅広く使用されるセキュリティツールです。

WCE のバージョン

2015/06/13 におけるバージョンは、以下の通りです。

• WCE v1.42beta (32-bit)
• WCE v1.42beta (64-bit)
• Universal Binary

2013/08/25 におけるバージョンは、以下の通りです。

WCE 32bit

version 1.41 beta.

http://www.ampliasecurity.com/research/wce_v1_41beta_x32.zip

WCE 64bit

version 1.41 beta

http://www.ampliasecurity.com/research/wce_v1_41beta_x64.zip

ユニバーサルバイナリ 32bit/64bit

http://www.ampliasecurity.com/research/wce_v1_41beta_universal.zip

WCE がサポートするOS

• Windows 7
• Windows Vista
• Windows XP
• Windows 2008
• Windows 2003

WCE は CacheDump のようなものか？

WCE は、CacheDump ではありません。 CacheDump は、Windows Credentials Cache (login cache, login information cache, など) から NLTM クレデンシャル を手に入れます。 このキャッシュは、ネットワーク/ドメイン/Windows アドミニストレータ によって、たびたび無効化されているため、使えません。 WCE は、キャッシュが無効なときでもさえも、クレデンシャルを取得可能です。 WCE は、SSOを実行するためにシステムによって使われるメモリからNTLMクレデンシャルを取得します。

WCE は PwDump のようなものか？

WCE は、PwDump ではありません。 PwDump は、ローカルのSAMデータベース から NTLM クレデンシャルをダンプします。 WCE は、メモリからクレデンシャルを取り出します。

インストール

• zip ファイルをダウンロードし、解凍します。
• wce をダウンロードするときに、Firefoxなどのブラウザにブロックされることがあります。ブロックを解除することで、ダウンロードできます。

コマンドラインオプション 1.42 beta

WCE v1.42beta (Windows Credentials Editor) - (c) 2010-2013 Amplia Security -
by Hernan Ochoa (hernan@ampliasecurity.com)
Use -h for help.
Options:  
	-l		List logon sessions and NTLM credentials (default).
	-s		Changes NTLM credentials of current logon session.
			Parameters: <UserName>:<DomainName>:<LMHash>:<NTHash>.
	-r		Lists logon sessions and NTLM credentials indefinitely.
			Refreshes every 5 seconds if new sessions are found.
			Optional: -r<refresh interval>.
	-c		Run <cmd> in a new session with the specified NTLM credentials.
			Parameters: <cmd>.
	-e		Lists logon sessions NTLM credentials indefinitely.
			Refreshes every time a logon event occurs.
	-o		saves all output to a file.
			Parameters: <filename>.
	-i		Specify LUID instead of use current logon session.
			Parameters: <luid>.
	-d		Delete NTLM credentials from logon session.
			Parameters: <luid>.
	-a		Use Addresses.
			Parameters: <addresses>
	-f		Force 'safe mode'.
	-g		Generate LM & NT Hash.
			Parameters: <password>.
	-K		Dump Kerberos tickets to file (unix & 'windows wce' format)
	-k		Read Kerberos tickets from file and insert into Windows cache
	-w		Dump cleartext passwords stored by the digest authentication package
	-v		verbose output.

コマンドラインオプション 1.41 beta

C:\wce_v1_41beta_x32>wce.exe -s
WCE v1.41beta (Windows Credentials Editor) - (c) 2010-2013 Amplia Security - by
Hernan Ochoa (hernan@ampliasecurity.com)
Use -h for help.
wce.exe: option requires an argument -- s
Options:
        -l              List logon sessions and NTLM credentials (default).
        -s              Changes NTLM credentials of current logon session.
                        Parameters: <UserName>:<DomainName>:<LMHash>:<NTHash>.
        -r              Lists logon sessions and NTLM credentials indefinitely.
                        Refreshes every 5 seconds if new sessions are found.
                        Optional: -r<refresh interval>.
        -c              Run <cmd> in a new session with the specified NTLM credentials.
                        Parameters: <cmd>.
        -e              Lists logon sessions NTLM credentials indefinitely.
                        Refreshes every time a logon event occurs.
        -o              saves all output to a file.
                        Parameters: <filename>.
        -i              Specify LUID instead of use current logon session.
                        Parameters: <luid>.
        -d              Delete NTLM credentials from logon session.
                        Parameters: <luid>.
        -a              Use Addresses.
                        Parameters: <addresses>
        -f              Force 'safe mode'.
        -g              Generate LM & NT Hash.
                        Parameters: <password>.
        -K              Dump Kerberos tickets to file (unix & 'windows wce' format)
        -k              Read Kerberos tickets from file and insert into Windows cache
        -w              Dump cleartext passwords stored by the digest authentication package
        -v              verbose output.

使い方

C:\Users\test>wce.exe -s

C:\>wce.exe -s <user>:<domain>:<LM hash>:<NT hash> -c cmd.exe

WCE で NTLM ハッシュを生成する

C:\Users\test>wce.exe -g mypassword

C:\tmp\wce_v1_41beta_x32>wce.exe -g hoge
WCE v1.41beta (Windows Credentials Editor) - (c) 2010-2013 Amplia Security - by
Hernan Ochoa (hernan@ampliasecurity.com)
Use -h for help.
 
Password:   hoge
Hashes:     6EA969D732A58357AAD3B435B51404EE:5272F5E0E90A98359C10B0518C9125CA

WCE のセーフモード

C:\Users\test>wce.exe -f

ウイルス対策ソフトでスキャンした場合

「不審なプログラム HackTool.AEPE」と判定されます。

関連項目

• パスワードクラック
• Windows
• CacheDump
• ケルベロス認証
• Windowsアカウントのパスワードをクラッキングする方法
• Windowsのパスワード
• LMハッシュ
• NTLMハッシュ
• SAMデータベース