「Windows Credentials Editor」の版間の差分

提供: セキュリティ
移動: 案内検索
(ページの作成:「<!-- vim: filetype=mediawiki --> Windows Credentials Editor (WCE, ウィンドウズクレデンシャルズエディター) とは、Windows ログインセッシ...」)
 
 
(同じ利用者による、間の12版が非表示)
行1: 行1:
<!--
 
vim: filetype=mediawiki
 
-->
 
 
[[Windows Credentials Editor]]  (WCE, ウィンドウズクレデンシャルズエディター) とは、Windows ログインセッションをリスト化し、クレデンシャル([[LMハッシュ]], [[NTLMハッシュ]]、[[kerberos]] チケットや[[平文]]の[[パスワード]]など)の追加や削除、リスト、削除ができるセキュリティツールです。
 
[[Windows Credentials Editor]]  (WCE, ウィンドウズクレデンシャルズエディター) とは、Windows ログインセッションをリスト化し、クレデンシャル([[LMハッシュ]], [[NTLMハッシュ]]、[[kerberos]] チケットや[[平文]]の[[パスワード]]など)の追加や削除、リスト、削除ができるセキュリティツールです。
  
行10: 行7:
  
 
== 概要 ==
 
== 概要 ==
 
 
WCE ができることは、以下の通りです。
 
WCE ができることは、以下の通りです。
  
* [[Windows]] で [[Pass-the-Hash]] を行う
+
* [[Windows]] で [[Pass the Hash]] (Pass-the-Hash) を行う
* メモリから [[NTLMハッシュ]] を奪取する([[コードインジェクションの有無に関わらず)
+
** ログインセッションのNTLMクレデンシャルの変更と削除
 +
** 新規ログインセッションの作成と任意のNTLMクレデンシャルの関連付け
 +
* メモリから [[NTLMハッシュ]] を奪取する([[コードインジェクション]]の有無に関わらず)
 +
** ログインセッションのリストと復号
 +
* wce.exe 1つあれば、実行できる
 +
** 簡単に利用、アップロードなどができる
 
* [[Windows]] マシンから [[kerberos]] チケット を奪取する
 
* [[Windows]] マシンから [[kerberos]] チケット を奪取する
* ガッシュした [[kerberos]]] チケットを使って、ほかの [[Windows]] や [[Unix]] マシンのシステムやサービスにアクセスする。
+
* 奪取した [[kerberos]] チケットを使って、ほかの [[Windows]] や [[Unix]] マシンのシステムやサービスにアクセスする。
 
* Windows 認証パッケージによって保存されている[[平文]]の[[パスワード]] をダンプする。
 
* Windows 認証パッケージによって保存されている[[平文]]の[[パスワード]] をダンプする。
  
 
WCE は、セキュリティプロフェッショナルによって、[[ペネトレーションテスト]]を通して、Windows ネットワークのセキュリティアクセスのために幅広く使用されるセキュリティツールです。
 
WCE は、セキュリティプロフェッショナルによって、[[ペネトレーションテスト]]を通して、Windows ネットワークのセキュリティアクセスのために幅広く使用されるセキュリティツールです。
 
 
== WCE のバージョン ==
 
== WCE のバージョン ==
 +
2015/06/13 におけるバージョンは、以下の通りです。
 +
* [http://www.ampliasecurity.com/research/wce_v1_42beta_x32.zip WCE v1.42beta (32-bit)]
 +
* [http://www.ampliasecurity.com/research/wce_v1_42beta_x64.zip WCE v1.42beta (64-bit)]
 +
* [http://www.ampliasecurity.com/research/wce_v1_41beta_universal.zip Universal Binary]
  
 
2013/08/25 におけるバージョンは、以下の通りです。
 
2013/08/25 におけるバージョンは、以下の通りです。
 
 
;WCE 32bit: version 1.41 beta.
 
;WCE 32bit: version 1.41 beta.
 
:http://www.ampliasecurity.com/research/wce_v1_41beta_x32.zip
 
:http://www.ampliasecurity.com/research/wce_v1_41beta_x32.zip
行31: 行34:
 
;ユニバーサルバイナリ 32bit/64bit:
 
;ユニバーサルバイナリ 32bit/64bit:
 
:http://www.ampliasecurity.com/research/wce_v1_41beta_universal.zip
 
:http://www.ampliasecurity.com/research/wce_v1_41beta_universal.zip
 
 
== WCE がサポートするOS ==
 
== WCE がサポートするOS ==
 
 
* [[Windows 7]]
 
* [[Windows 7]]
 +
* [[Windows Vista]]
 
* [[Windows XP]]
 
* [[Windows XP]]
 
* Windows 2008
 
* Windows 2008
 
* Windows 2003
 
* Windows 2003
 
+
== WCE は CacheDump のようなものか? ==
== WCE は cachedump のようなものか? ==
+
WCE は、[[CacheDump]] ではありません。
 
+
[[CacheDump]] は、Windows Credentials Cache (login cache, login information cache, など) から NLTM クレデンシャル を手に入れます。
WCE は、[[cachedump]] ではありません。
+
[[cachedump]] は、[[Windows Credentials Cache]] (login cache, login information cache, など) から NLTM クレデンシャル を手に入れます。
+
 
このキャッシュは、ネットワーク/ドメイン/[[Windows]] [[システム管理者|アドミニストレータ]] によって、たびたび無効化されているため、使えません。
 
このキャッシュは、ネットワーク/ドメイン/[[Windows]] [[システム管理者|アドミニストレータ]] によって、たびたび無効化されているため、使えません。
 
WCE は、キャッシュが無効なときでもさえも、クレデンシャルを取得可能です。
 
WCE は、キャッシュが無効なときでもさえも、クレデンシャルを取得可能です。
行49: 行49:
 
== WCE は PwDump のようなものか? ==
 
== WCE は PwDump のようなものか? ==
 
WCE は、[[PwDump]] ではありません。
 
WCE は、[[PwDump]] ではありません。
[[Pwdump]] は、ローカルの[[SAM]] から NTLM クレデンシャルをダンプします。
+
[[PwDump]] は、ローカルの[[SAMデータベース]] から NTLM クレデンシャルをダンプします。
 
WCE は、メモリからクレデンシャルを取り出します。
 
WCE は、メモリからクレデンシャルを取り出します。
 
 
== インストール ==
 
== インストール ==
 
 
* zip ファイルをダウンロードし、解凍します。
 
* zip ファイルをダウンロードし、解凍します。
 
+
* wce をダウンロードするときに、Firefoxなどのブラウザにブロックされることがあります。ブロックを解除することで、ダウンロードできます。
 +
== コマンドラインオプション 1.42 beta ==
 +
<syntaxhighlight lang="dos">
 +
WCE v1.42beta (Windows Credentials Editor) - (c) 2010-2013 Amplia Security -
 +
by Hernan Ochoa (hernan@ampliasecurity.com)
 +
Use -h for help.
 +
Options: 
 +
-l List logon sessions and NTLM credentials (default).
 +
-s Changes NTLM credentials of current logon session.
 +
Parameters: <UserName>:<DomainName>:<LMHash>:<NTHash>.
 +
-r Lists logon sessions and NTLM credentials indefinitely.
 +
Refreshes every 5 seconds if new sessions are found.
 +
Optional: -r<refresh interval>.
 +
-c Run <cmd> in a new session with the specified NTLM credentials.
 +
Parameters: <cmd>.
 +
-e Lists logon sessions NTLM credentials indefinitely.
 +
Refreshes every time a logon event occurs.
 +
-o saves all output to a file.
 +
Parameters: <filename>.
 +
-i Specify LUID instead of use current logon session.
 +
Parameters: <luid>.
 +
-d Delete NTLM credentials from logon session.
 +
Parameters: <luid>.
 +
-a Use Addresses.
 +
Parameters: <addresses>
 +
-f Force 'safe mode'.
 +
-g Generate LM & NT Hash.
 +
Parameters: <password>.
 +
-K Dump Kerberos tickets to file (unix & 'windows wce' format)
 +
-k Read Kerberos tickets from file and insert into Windows cache
 +
-w Dump cleartext passwords stored by the digest authentication package
 +
-v verbose output.
 +
</syntaxhighlight>
 +
== コマンドラインオプション 1.41 beta ==
 +
<syntaxhighlight lang="dos">
 +
C:\wce_v1_41beta_x32>wce.exe -s
 +
WCE v1.41beta (Windows Credentials Editor) - (c) 2010-2013 Amplia Security - by
 +
Hernan Ochoa (hernan@ampliasecurity.com)
 +
Use -h for help.
 +
wce.exe: option requires an argument -- s
 +
Options:
 +
        -l              List logon sessions and NTLM credentials (default).
 +
        -s              Changes NTLM credentials of current logon session.
 +
                        Parameters: <UserName>:<DomainName>:<LMHash>:<NTHash>.
 +
        -r              Lists logon sessions and NTLM credentials indefinitely.
 +
                        Refreshes every 5 seconds if new sessions are found.
 +
                        Optional: -r<refresh interval>.
 +
        -c              Run <cmd> in a new session with the specified NTLM credentials.
 +
                        Parameters: <cmd>.
 +
        -e              Lists logon sessions NTLM credentials indefinitely.
 +
                        Refreshes every time a logon event occurs.
 +
        -o              saves all output to a file.
 +
                        Parameters: <filename>.
 +
        -i              Specify LUID instead of use current logon session.
 +
                        Parameters: <luid>.
 +
        -d              Delete NTLM credentials from logon session.
 +
                        Parameters: <luid>.
 +
        -a              Use Addresses.
 +
                        Parameters: <addresses>
 +
        -f              Force 'safe mode'.
 +
        -g              Generate LM & NT Hash.
 +
                        Parameters: <password>.
 +
        -K              Dump Kerberos tickets to file (unix & 'windows wce' format)
 +
        -k              Read Kerberos tickets from file and insert into Windows cache
 +
        -w              Dump cleartext passwords stored by the digest authentication package
 +
        -v              verbose output.
 +
</syntaxhighlight>
 
== 使い方 ==
 
== 使い方 ==
<syntaxhighlight lang="bash">
+
<syntaxhighlight lang="dos">
 
C:\Users\test>wce.exe -s
 
C:\Users\test>wce.exe -s
 
</syntaxhighlight>
 
</syntaxhighlight>
  
 +
<pre>
 +
C:\>wce.exe -s <user>:<domain>:<LM hash>:<NT hash> -c cmd.exe
 +
</pre>
 
== WCE で NTLM ハッシュを生成する ==
 
== WCE で NTLM ハッシュを生成する ==
<syntaxhighlight lang="bash">
+
<syntaxhighlight lang="dos">
 
C:\Users\test>wce.exe -g mypassword
 
C:\Users\test>wce.exe -g mypassword
 
</syntaxhighlight>
 
</syntaxhighlight>
  
 +
<syntaxhighlight lang="dos">
 +
C:\tmp\wce_v1_41beta_x32>wce.exe -g hoge
 +
WCE v1.41beta (Windows Credentials Editor) - (c) 2010-2013 Amplia Security - by
 +
Hernan Ochoa (hernan@ampliasecurity.com)
 +
Use -h for help.
 +
 +
Password:  hoge
 +
Hashes:    6EA969D732A58357AAD3B435B51404EE:5272F5E0E90A98359C10B0518C9125CA
 +
</syntaxhighlight>
 
== WCE のセーフモード ==
 
== WCE のセーフモード ==
<syntaxhighlight lang="bash">
+
<syntaxhighlight lang="dos">
 
C:\Users\test>wce.exe -f
 
C:\Users\test>wce.exe -f
 
</syntaxhighlight>
 
</syntaxhighlight>
 
+
== ウイルス対策ソフトでスキャンした場合 ==
 +
「不審なプログラム HackTool.AEPE」と判定されます。
 
== 関連項目 ==
 
== 関連項目 ==
 
* [[パスワードクラック]]
 
* [[パスワードクラック]]
 
* [[Windows]]
 
* [[Windows]]
* [[cachedump]]
+
* [[CacheDump]]
 +
* [[ケルベロス認証]]
 +
{{crack windows password}}
 +
<!-- vim: filetype=mediawiki
 +
-->

2015年6月14日 (日) 00:21時点における最新版

Windows Credentials Editor (WCE, ウィンドウズクレデンシャルズエディター) とは、Windows ログインセッションをリスト化し、クレデンシャル(LMハッシュ, NTLMハッシュkerberos チケットや平文パスワードなど)の追加や削除、リスト、削除ができるセキュリティツールです。

読み方

Windows Credentials Editor
うぃんどうず くれでんしゃるず えでぃたー
WCE
だぶりゅー しー いー

概要

WCE ができることは、以下の通りです。

  • WindowsPass the Hash (Pass-the-Hash) を行う
    • ログインセッションのNTLMクレデンシャルの変更と削除
    • 新規ログインセッションの作成と任意のNTLMクレデンシャルの関連付け
  • メモリから NTLMハッシュ を奪取する(コードインジェクションの有無に関わらず)
    • ログインセッションのリストと復号
  • wce.exe 1つあれば、実行できる
    • 簡単に利用、アップロードなどができる
  • Windows マシンから kerberos チケット を奪取する
  • 奪取した kerberos チケットを使って、ほかの WindowsUnix マシンのシステムやサービスにアクセスする。
  • Windows 認証パッケージによって保存されている平文パスワード をダンプする。

WCE は、セキュリティプロフェッショナルによって、ペネトレーションテストを通して、Windows ネットワークのセキュリティアクセスのために幅広く使用されるセキュリティツールです。

WCE のバージョン

2015/06/13 におけるバージョンは、以下の通りです。

2013/08/25 におけるバージョンは、以下の通りです。

WCE 32bit
version 1.41 beta.
http://www.ampliasecurity.com/research/wce_v1_41beta_x32.zip
WCE 64bit
version 1.41 beta
http://www.ampliasecurity.com/research/wce_v1_41beta_x64.zip
ユニバーサルバイナリ 32bit/64bit
http://www.ampliasecurity.com/research/wce_v1_41beta_universal.zip

WCE がサポートするOS

WCE は CacheDump のようなものか?

WCE は、CacheDump ではありません。 CacheDump は、Windows Credentials Cache (login cache, login information cache, など) から NLTM クレデンシャル を手に入れます。 このキャッシュは、ネットワーク/ドメイン/Windows アドミニストレータ によって、たびたび無効化されているため、使えません。 WCE は、キャッシュが無効なときでもさえも、クレデンシャルを取得可能です。 WCE は、SSOを実行するためにシステムによって使われるメモリからNTLMクレデンシャルを取得します。

WCE は PwDump のようなものか?

WCE は、PwDump ではありません。 PwDump は、ローカルのSAMデータベース から NTLM クレデンシャルをダンプします。 WCE は、メモリからクレデンシャルを取り出します。

インストール

  • zip ファイルをダウンロードし、解凍します。
  • wce をダウンロードするときに、Firefoxなどのブラウザにブロックされることがあります。ブロックを解除することで、ダウンロードできます。

コマンドラインオプション 1.42 beta

WCE v1.42beta (Windows Credentials Editor) - (c) 2010-2013 Amplia Security -
by Hernan Ochoa (hernan@ampliasecurity.com)
Use -h for help.
Options:  
	-l		List logon sessions and NTLM credentials (default).
	-s		Changes NTLM credentials of current logon session.
			Parameters: <UserName>:<DomainName>:<LMHash>:<NTHash>.
	-r		Lists logon sessions and NTLM credentials indefinitely.
			Refreshes every 5 seconds if new sessions are found.
			Optional: -r<refresh interval>.
	-c		Run <cmd> in a new session with the specified NTLM credentials.
			Parameters: <cmd>.
	-e		Lists logon sessions NTLM credentials indefinitely.
			Refreshes every time a logon event occurs.
	-o		saves all output to a file.
			Parameters: <filename>.
	-i		Specify LUID instead of use current logon session.
			Parameters: <luid>.
	-d		Delete NTLM credentials from logon session.
			Parameters: <luid>.
	-a		Use Addresses.
			Parameters: <addresses>
	-f		Force 'safe mode'.
	-g		Generate LM & NT Hash.
			Parameters: <password>.
	-K		Dump Kerberos tickets to file (unix & 'windows wce' format)
	-k		Read Kerberos tickets from file and insert into Windows cache
	-w		Dump cleartext passwords stored by the digest authentication package
	-v		verbose output.

コマンドラインオプション 1.41 beta

C:\wce_v1_41beta_x32>wce.exe -s
WCE v1.41beta (Windows Credentials Editor) - (c) 2010-2013 Amplia Security - by
Hernan Ochoa (hernan@ampliasecurity.com)
Use -h for help.
wce.exe: option requires an argument -- s
Options:
        -l              List logon sessions and NTLM credentials (default).
        -s              Changes NTLM credentials of current logon session.
                        Parameters: <UserName>:<DomainName>:<LMHash>:<NTHash>.
        -r              Lists logon sessions and NTLM credentials indefinitely.
                        Refreshes every 5 seconds if new sessions are found.
                        Optional: -r<refresh interval>.
        -c              Run <cmd> in a new session with the specified NTLM credentials.
                        Parameters: <cmd>.
        -e              Lists logon sessions NTLM credentials indefinitely.
                        Refreshes every time a logon event occurs.
        -o              saves all output to a file.
                        Parameters: <filename>.
        -i              Specify LUID instead of use current logon session.
                        Parameters: <luid>.
        -d              Delete NTLM credentials from logon session.
                        Parameters: <luid>.
        -a              Use Addresses.
                        Parameters: <addresses>
        -f              Force 'safe mode'.
        -g              Generate LM & NT Hash.
                        Parameters: <password>.
        -K              Dump Kerberos tickets to file (unix & 'windows wce' format)
        -k              Read Kerberos tickets from file and insert into Windows cache
        -w              Dump cleartext passwords stored by the digest authentication package
        -v              verbose output.

使い方

C:\Users\test>wce.exe -s
C:\>wce.exe -s <user>:<domain>:<LM hash>:<NT hash> -c cmd.exe

WCE で NTLM ハッシュを生成する

C:\Users\test>wce.exe -g mypassword
C:\tmp\wce_v1_41beta_x32>wce.exe -g hoge
WCE v1.41beta (Windows Credentials Editor) - (c) 2010-2013 Amplia Security - by
Hernan Ochoa (hernan@ampliasecurity.com)
Use -h for help.
 
Password:   hoge
Hashes:     6EA969D732A58357AAD3B435B51404EE:5272F5E0E90A98359C10B0518C9125CA

WCE のセーフモード

C:\Users\test>wce.exe -f

ウイルス対策ソフトでスキャンした場合

「不審なプログラム HackTool.AEPE」と判定されます。

関連項目