「Windows Credentials Editor」の版間の差分
提供: セキュリティ
(ページの作成:「<!-- vim: filetype=mediawiki --> Windows Credentials Editor (WCE, ウィンドウズクレデンシャルズエディター) とは、Windows ログインセッシ...」) |
(相違点なし)
|
2013年8月25日 (日) 15:04時点における版
Windows Credentials Editor (WCE, ウィンドウズクレデンシャルズエディター) とは、Windows ログインセッションをリスト化し、クレデンシャル(LMハッシュ, NTLMハッシュ、kerberos チケットや平文のパスワードなど)の追加や削除、リスト、削除ができるセキュリティツールです。
読み方
- Windows Credentials Editor
- うぃんどうず くれでんしゃるず えでぃたー
- WCE
- だぶりゅー しー いー
目次
概要
WCE ができることは、以下の通りです。
- Windows で Pass-the-Hash を行う
- メモリから NTLMハッシュ を奪取する([[コードインジェクションの有無に関わらず)
- Windows マシンから kerberos チケット を奪取する
- ガッシュした kerberos] チケットを使って、ほかの Windows や Unix マシンのシステムやサービスにアクセスする。
- Windows 認証パッケージによって保存されている平文のパスワード をダンプする。
WCE は、セキュリティプロフェッショナルによって、ペネトレーションテストを通して、Windows ネットワークのセキュリティアクセスのために幅広く使用されるセキュリティツールです。
WCE のバージョン
2013/08/25 におけるバージョンは、以下の通りです。
- WCE 32bit
- version 1.41 beta.
- http://www.ampliasecurity.com/research/wce_v1_41beta_x32.zip
- WCE 64bit
- version 1.41 beta
- http://www.ampliasecurity.com/research/wce_v1_41beta_x64.zip
- ユニバーサルバイナリ 32bit/64bit
- http://www.ampliasecurity.com/research/wce_v1_41beta_universal.zip
WCE がサポートするOS
- Windows 7
- Windows XP
- Windows 2008
- Windows 2003
WCE は cachedump のようなものか?
WCE は、cachedump ではありません。 cachedump は、Windows Credentials Cache (login cache, login information cache, など) から NLTM クレデンシャル を手に入れます。 このキャッシュは、ネットワーク/ドメイン/Windows アドミニストレータ によって、たびたび無効化されているため、使えません。 WCE は、キャッシュが無効なときでもさえも、クレデンシャルを取得可能です。 WCE は、SSOを実行するためにシステムによって使われるメモリからNTLMクレデンシャルを取得します。
WCE は PwDump のようなものか?
WCE は、PwDump ではありません。 Pwdump は、ローカルのSAM から NTLM クレデンシャルをダンプします。 WCE は、メモリからクレデンシャルを取り出します。
インストール
- zip ファイルをダウンロードし、解凍します。
使い方
C:\Users\test>wce.exe -s
WCE で NTLM ハッシュを生成する
C:\Users\test>wce.exe -g mypassword
WCE のセーフモード
C:\Users\test>wce.exe -f