「Windows Credentials Editor」の版間の差分
(同じ利用者による、間の8版が非表示) | |||
行1: | 行1: | ||
− | |||
− | |||
− | |||
[[Windows Credentials Editor]] (WCE, ウィンドウズクレデンシャルズエディター) とは、Windows ログインセッションをリスト化し、クレデンシャル([[LMハッシュ]], [[NTLMハッシュ]]、[[kerberos]] チケットや[[平文]]の[[パスワード]]など)の追加や削除、リスト、削除ができるセキュリティツールです。 | [[Windows Credentials Editor]] (WCE, ウィンドウズクレデンシャルズエディター) とは、Windows ログインセッションをリスト化し、クレデンシャル([[LMハッシュ]], [[NTLMハッシュ]]、[[kerberos]] チケットや[[平文]]の[[パスワード]]など)の追加や削除、リスト、削除ができるセキュリティツールです。 | ||
行10: | 行7: | ||
== 概要 == | == 概要 == | ||
− | |||
WCE ができることは、以下の通りです。 | WCE ができることは、以下の通りです。 | ||
* [[Windows]] で [[Pass the Hash]] (Pass-the-Hash) を行う | * [[Windows]] で [[Pass the Hash]] (Pass-the-Hash) を行う | ||
− | * メモリから [[NTLMハッシュ]] を奪取する([[ | + | ** ログインセッションのNTLMクレデンシャルの変更と削除 |
+ | ** 新規ログインセッションの作成と任意のNTLMクレデンシャルの関連付け | ||
+ | * メモリから [[NTLMハッシュ]] を奪取する([[コードインジェクション]]の有無に関わらず) | ||
+ | ** ログインセッションのリストと復号 | ||
+ | * wce.exe 1つあれば、実行できる | ||
+ | ** 簡単に利用、アップロードなどができる | ||
* [[Windows]] マシンから [[kerberos]] チケット を奪取する | * [[Windows]] マシンから [[kerberos]] チケット を奪取する | ||
* 奪取した [[kerberos]] チケットを使って、ほかの [[Windows]] や [[Unix]] マシンのシステムやサービスにアクセスする。 | * 奪取した [[kerberos]] チケットを使って、ほかの [[Windows]] や [[Unix]] マシンのシステムやサービスにアクセスする。 | ||
行20: | 行21: | ||
WCE は、セキュリティプロフェッショナルによって、[[ペネトレーションテスト]]を通して、Windows ネットワークのセキュリティアクセスのために幅広く使用されるセキュリティツールです。 | WCE は、セキュリティプロフェッショナルによって、[[ペネトレーションテスト]]を通して、Windows ネットワークのセキュリティアクセスのために幅広く使用されるセキュリティツールです。 | ||
− | |||
== WCE のバージョン == | == WCE のバージョン == | ||
+ | 2015/06/13 におけるバージョンは、以下の通りです。 | ||
+ | * [http://www.ampliasecurity.com/research/wce_v1_42beta_x32.zip WCE v1.42beta (32-bit)] | ||
+ | * [http://www.ampliasecurity.com/research/wce_v1_42beta_x64.zip WCE v1.42beta (64-bit)] | ||
+ | * [http://www.ampliasecurity.com/research/wce_v1_41beta_universal.zip Universal Binary] | ||
2013/08/25 におけるバージョンは、以下の通りです。 | 2013/08/25 におけるバージョンは、以下の通りです。 | ||
− | |||
;WCE 32bit: version 1.41 beta. | ;WCE 32bit: version 1.41 beta. | ||
:http://www.ampliasecurity.com/research/wce_v1_41beta_x32.zip | :http://www.ampliasecurity.com/research/wce_v1_41beta_x32.zip | ||
行31: | 行34: | ||
;ユニバーサルバイナリ 32bit/64bit: | ;ユニバーサルバイナリ 32bit/64bit: | ||
:http://www.ampliasecurity.com/research/wce_v1_41beta_universal.zip | :http://www.ampliasecurity.com/research/wce_v1_41beta_universal.zip | ||
− | |||
== WCE がサポートするOS == | == WCE がサポートするOS == | ||
− | |||
* [[Windows 7]] | * [[Windows 7]] | ||
+ | * [[Windows Vista]] | ||
* [[Windows XP]] | * [[Windows XP]] | ||
* Windows 2008 | * Windows 2008 | ||
* Windows 2003 | * Windows 2003 | ||
− | |||
== WCE は CacheDump のようなものか? == | == WCE は CacheDump のようなものか? == | ||
− | |||
WCE は、[[CacheDump]] ではありません。 | WCE は、[[CacheDump]] ではありません。 | ||
− | [[CacheDump]] | + | [[CacheDump]] は、Windows Credentials Cache (login cache, login information cache, など) から NLTM クレデンシャル を手に入れます。 |
このキャッシュは、ネットワーク/ドメイン/[[Windows]] [[システム管理者|アドミニストレータ]] によって、たびたび無効化されているため、使えません。 | このキャッシュは、ネットワーク/ドメイン/[[Windows]] [[システム管理者|アドミニストレータ]] によって、たびたび無効化されているため、使えません。 | ||
WCE は、キャッシュが無効なときでもさえも、クレデンシャルを取得可能です。 | WCE は、キャッシュが無効なときでもさえも、クレデンシャルを取得可能です。 | ||
行49: | 行49: | ||
== WCE は PwDump のようなものか? == | == WCE は PwDump のようなものか? == | ||
WCE は、[[PwDump]] ではありません。 | WCE は、[[PwDump]] ではありません。 | ||
− | [[ | + | [[PwDump]] は、ローカルの[[SAMデータベース]] から NTLM クレデンシャルをダンプします。 |
WCE は、メモリからクレデンシャルを取り出します。 | WCE は、メモリからクレデンシャルを取り出します。 | ||
− | |||
== インストール == | == インストール == | ||
− | |||
* zip ファイルをダウンロードし、解凍します。 | * zip ファイルをダウンロードし、解凍します。 | ||
− | + | * wce をダウンロードするときに、Firefoxなどのブラウザにブロックされることがあります。ブロックを解除することで、ダウンロードできます。 | |
− | == コマンドラインオプション == | + | == コマンドラインオプション 1.42 beta == |
− | + | <syntaxhighlight lang="dos"> | |
− | <syntaxhighlight lang=" | + | WCE v1.42beta (Windows Credentials Editor) - (c) 2010-2013 Amplia Security - |
+ | by Hernan Ochoa (hernan@ampliasecurity.com) | ||
+ | Use -h for help. | ||
+ | Options: | ||
+ | -l List logon sessions and NTLM credentials (default). | ||
+ | -s Changes NTLM credentials of current logon session. | ||
+ | Parameters: <UserName>:<DomainName>:<LMHash>:<NTHash>. | ||
+ | -r Lists logon sessions and NTLM credentials indefinitely. | ||
+ | Refreshes every 5 seconds if new sessions are found. | ||
+ | Optional: -r<refresh interval>. | ||
+ | -c Run <cmd> in a new session with the specified NTLM credentials. | ||
+ | Parameters: <cmd>. | ||
+ | -e Lists logon sessions NTLM credentials indefinitely. | ||
+ | Refreshes every time a logon event occurs. | ||
+ | -o saves all output to a file. | ||
+ | Parameters: <filename>. | ||
+ | -i Specify LUID instead of use current logon session. | ||
+ | Parameters: <luid>. | ||
+ | -d Delete NTLM credentials from logon session. | ||
+ | Parameters: <luid>. | ||
+ | -a Use Addresses. | ||
+ | Parameters: <addresses> | ||
+ | -f Force 'safe mode'. | ||
+ | -g Generate LM & NT Hash. | ||
+ | Parameters: <password>. | ||
+ | -K Dump Kerberos tickets to file (unix & 'windows wce' format) | ||
+ | -k Read Kerberos tickets from file and insert into Windows cache | ||
+ | -w Dump cleartext passwords stored by the digest authentication package | ||
+ | -v verbose output. | ||
+ | </syntaxhighlight> | ||
+ | == コマンドラインオプション 1.41 beta == | ||
+ | <syntaxhighlight lang="dos"> | ||
C:\wce_v1_41beta_x32>wce.exe -s | C:\wce_v1_41beta_x32>wce.exe -s | ||
WCE v1.41beta (Windows Credentials Editor) - (c) 2010-2013 Amplia Security - by | WCE v1.41beta (Windows Credentials Editor) - (c) 2010-2013 Amplia Security - by | ||
行91: | 行120: | ||
-v verbose output. | -v verbose output. | ||
</syntaxhighlight> | </syntaxhighlight> | ||
− | |||
== 使い方 == | == 使い方 == | ||
− | <syntaxhighlight lang=" | + | <syntaxhighlight lang="dos"> |
C:\Users\test>wce.exe -s | C:\Users\test>wce.exe -s | ||
</syntaxhighlight> | </syntaxhighlight> | ||
+ | <pre> | ||
+ | C:\>wce.exe -s <user>:<domain>:<LM hash>:<NT hash> -c cmd.exe | ||
+ | </pre> | ||
== WCE で NTLM ハッシュを生成する == | == WCE で NTLM ハッシュを生成する == | ||
− | <syntaxhighlight lang=" | + | <syntaxhighlight lang="dos"> |
C:\Users\test>wce.exe -g mypassword | C:\Users\test>wce.exe -g mypassword | ||
</syntaxhighlight> | </syntaxhighlight> | ||
− | <syntaxhighlight lang=" | + | <syntaxhighlight lang="dos"> |
C:\tmp\wce_v1_41beta_x32>wce.exe -g hoge | C:\tmp\wce_v1_41beta_x32>wce.exe -g hoge | ||
WCE v1.41beta (Windows Credentials Editor) - (c) 2010-2013 Amplia Security - by | WCE v1.41beta (Windows Credentials Editor) - (c) 2010-2013 Amplia Security - by | ||
行111: | 行142: | ||
Hashes: 6EA969D732A58357AAD3B435B51404EE:5272F5E0E90A98359C10B0518C9125CA | Hashes: 6EA969D732A58357AAD3B435B51404EE:5272F5E0E90A98359C10B0518C9125CA | ||
</syntaxhighlight> | </syntaxhighlight> | ||
− | |||
== WCE のセーフモード == | == WCE のセーフモード == | ||
− | <syntaxhighlight lang=" | + | <syntaxhighlight lang="dos"> |
C:\Users\test>wce.exe -f | C:\Users\test>wce.exe -f | ||
</syntaxhighlight> | </syntaxhighlight> | ||
− | |||
== ウイルス対策ソフトでスキャンした場合 == | == ウイルス対策ソフトでスキャンした場合 == | ||
− | |||
「不審なプログラム HackTool.AEPE」と判定されます。 | 「不審なプログラム HackTool.AEPE」と判定されます。 | ||
− | |||
== 関連項目 == | == 関連項目 == | ||
* [[パスワードクラック]] | * [[パスワードクラック]] | ||
* [[Windows]] | * [[Windows]] | ||
* [[CacheDump]] | * [[CacheDump]] | ||
+ | * [[ケルベロス認証]] | ||
+ | {{crack windows password}} | ||
+ | <!-- vim: filetype=mediawiki | ||
+ | --> |
2015年6月14日 (日) 00:21時点における最新版
Windows Credentials Editor (WCE, ウィンドウズクレデンシャルズエディター) とは、Windows ログインセッションをリスト化し、クレデンシャル(LMハッシュ, NTLMハッシュ、kerberos チケットや平文のパスワードなど)の追加や削除、リスト、削除ができるセキュリティツールです。
読み方
- Windows Credentials Editor
- うぃんどうず くれでんしゃるず えでぃたー
- WCE
- だぶりゅー しー いー
目次
概要
WCE ができることは、以下の通りです。
- Windows で Pass the Hash (Pass-the-Hash) を行う
- ログインセッションのNTLMクレデンシャルの変更と削除
- 新規ログインセッションの作成と任意のNTLMクレデンシャルの関連付け
- メモリから NTLMハッシュ を奪取する(コードインジェクションの有無に関わらず)
- ログインセッションのリストと復号
- wce.exe 1つあれば、実行できる
- 簡単に利用、アップロードなどができる
- Windows マシンから kerberos チケット を奪取する
- 奪取した kerberos チケットを使って、ほかの Windows や Unix マシンのシステムやサービスにアクセスする。
- Windows 認証パッケージによって保存されている平文のパスワード をダンプする。
WCE は、セキュリティプロフェッショナルによって、ペネトレーションテストを通して、Windows ネットワークのセキュリティアクセスのために幅広く使用されるセキュリティツールです。
WCE のバージョン
2015/06/13 におけるバージョンは、以下の通りです。
2013/08/25 におけるバージョンは、以下の通りです。
- WCE 32bit
- version 1.41 beta.
- http://www.ampliasecurity.com/research/wce_v1_41beta_x32.zip
- WCE 64bit
- version 1.41 beta
- http://www.ampliasecurity.com/research/wce_v1_41beta_x64.zip
- ユニバーサルバイナリ 32bit/64bit
- http://www.ampliasecurity.com/research/wce_v1_41beta_universal.zip
WCE がサポートするOS
- Windows 7
- Windows Vista
- Windows XP
- Windows 2008
- Windows 2003
WCE は CacheDump のようなものか?
WCE は、CacheDump ではありません。 CacheDump は、Windows Credentials Cache (login cache, login information cache, など) から NLTM クレデンシャル を手に入れます。 このキャッシュは、ネットワーク/ドメイン/Windows アドミニストレータ によって、たびたび無効化されているため、使えません。 WCE は、キャッシュが無効なときでもさえも、クレデンシャルを取得可能です。 WCE は、SSOを実行するためにシステムによって使われるメモリからNTLMクレデンシャルを取得します。
WCE は PwDump のようなものか?
WCE は、PwDump ではありません。 PwDump は、ローカルのSAMデータベース から NTLM クレデンシャルをダンプします。 WCE は、メモリからクレデンシャルを取り出します。
インストール
- zip ファイルをダウンロードし、解凍します。
- wce をダウンロードするときに、Firefoxなどのブラウザにブロックされることがあります。ブロックを解除することで、ダウンロードできます。
コマンドラインオプション 1.42 beta
WCE v1.42beta (Windows Credentials Editor) - (c) 2010-2013 Amplia Security - by Hernan Ochoa (hernan@ampliasecurity.com) Use -h for help. Options: -l List logon sessions and NTLM credentials (default). -s Changes NTLM credentials of current logon session. Parameters: <UserName>:<DomainName>:<LMHash>:<NTHash>. -r Lists logon sessions and NTLM credentials indefinitely. Refreshes every 5 seconds if new sessions are found. Optional: -r<refresh interval>. -c Run <cmd> in a new session with the specified NTLM credentials. Parameters: <cmd>. -e Lists logon sessions NTLM credentials indefinitely. Refreshes every time a logon event occurs. -o saves all output to a file. Parameters: <filename>. -i Specify LUID instead of use current logon session. Parameters: <luid>. -d Delete NTLM credentials from logon session. Parameters: <luid>. -a Use Addresses. Parameters: <addresses> -f Force 'safe mode'. -g Generate LM & NT Hash. Parameters: <password>. -K Dump Kerberos tickets to file (unix & 'windows wce' format) -k Read Kerberos tickets from file and insert into Windows cache -w Dump cleartext passwords stored by the digest authentication package -v verbose output.
コマンドラインオプション 1.41 beta
C:\wce_v1_41beta_x32>wce.exe -s WCE v1.41beta (Windows Credentials Editor) - (c) 2010-2013 Amplia Security - by Hernan Ochoa (hernan@ampliasecurity.com) Use -h for help. wce.exe: option requires an argument -- s Options: -l List logon sessions and NTLM credentials (default). -s Changes NTLM credentials of current logon session. Parameters: <UserName>:<DomainName>:<LMHash>:<NTHash>. -r Lists logon sessions and NTLM credentials indefinitely. Refreshes every 5 seconds if new sessions are found. Optional: -r<refresh interval>. -c Run <cmd> in a new session with the specified NTLM credentials. Parameters: <cmd>. -e Lists logon sessions NTLM credentials indefinitely. Refreshes every time a logon event occurs. -o saves all output to a file. Parameters: <filename>. -i Specify LUID instead of use current logon session. Parameters: <luid>. -d Delete NTLM credentials from logon session. Parameters: <luid>. -a Use Addresses. Parameters: <addresses> -f Force 'safe mode'. -g Generate LM & NT Hash. Parameters: <password>. -K Dump Kerberos tickets to file (unix & 'windows wce' format) -k Read Kerberos tickets from file and insert into Windows cache -w Dump cleartext passwords stored by the digest authentication package -v verbose output.
使い方
C:\Users\test>wce.exe -s
C:\>wce.exe -s <user>:<domain>:<LM hash>:<NT hash> -c cmd.exe
WCE で NTLM ハッシュを生成する
C:\Users\test>wce.exe -g mypassword
C:\tmp\wce_v1_41beta_x32>wce.exe -g hoge WCE v1.41beta (Windows Credentials Editor) - (c) 2010-2013 Amplia Security - by Hernan Ochoa (hernan@ampliasecurity.com) Use -h for help. Password: hoge Hashes: 6EA969D732A58357AAD3B435B51404EE:5272F5E0E90A98359C10B0518C9125CA
WCE のセーフモード
C:\Users\test>wce.exe -f
ウイルス対策ソフトでスキャンした場合
「不審なプログラム HackTool.AEPE」と判定されます。