「Windows Credentials Editor」の版間の差分

提供: セキュリティ
移動: 案内検索
(ページの作成:「<!-- vim: filetype=mediawiki --> Windows Credentials Editor (WCE, ウィンドウズクレデンシャルズエディター) とは、Windows ログインセッシ...」)
 
行70: 行70:
 
C:\Users\test>wce.exe -f
 
C:\Users\test>wce.exe -f
 
</syntaxhighlight>
 
</syntaxhighlight>
 +
 +
== ウイルス対策ソフトでスキャンした場合 ==
 +
 +
「不審なプログラム HackTool.AEPE」と判定されます。
  
 
== 関連項目 ==
 
== 関連項目 ==

2013年8月25日 (日) 17:26時点における版

Windows Credentials Editor (WCE, ウィンドウズクレデンシャルズエディター) とは、Windows ログインセッションをリスト化し、クレデンシャル(LMハッシュ, NTLMハッシュkerberos チケットや平文パスワードなど)の追加や削除、リスト、削除ができるセキュリティツールです。

読み方

Windows Credentials Editor
うぃんどうず くれでんしゃるず えでぃたー
WCE
だぶりゅー しー いー

概要

WCE ができることは、以下の通りです。

  • WindowsPass-the-Hash を行う
  • メモリから NTLMハッシュ を奪取する([[コードインジェクションの有無に関わらず)
  • Windows マシンから kerberos チケット を奪取する
  • ガッシュした kerberos] チケットを使って、ほかの WindowsUnix マシンのシステムやサービスにアクセスする。
  • Windows 認証パッケージによって保存されている平文パスワード をダンプする。

WCE は、セキュリティプロフェッショナルによって、ペネトレーションテストを通して、Windows ネットワークのセキュリティアクセスのために幅広く使用されるセキュリティツールです。

WCE のバージョン

2013/08/25 におけるバージョンは、以下の通りです。

WCE 32bit
version 1.41 beta.
http://www.ampliasecurity.com/research/wce_v1_41beta_x32.zip
WCE 64bit
version 1.41 beta
http://www.ampliasecurity.com/research/wce_v1_41beta_x64.zip
ユニバーサルバイナリ 32bit/64bit
http://www.ampliasecurity.com/research/wce_v1_41beta_universal.zip

WCE がサポートするOS

WCE は cachedump のようなものか?

WCE は、cachedump ではありません。 cachedump は、Windows Credentials Cache (login cache, login information cache, など) から NLTM クレデンシャル を手に入れます。 このキャッシュは、ネットワーク/ドメイン/Windows アドミニストレータ によって、たびたび無効化されているため、使えません。 WCE は、キャッシュが無効なときでもさえも、クレデンシャルを取得可能です。 WCE は、SSOを実行するためにシステムによって使われるメモリからNTLMクレデンシャルを取得します。

WCE は PwDump のようなものか?

WCE は、PwDump ではありません。 Pwdump は、ローカルのSAM から NTLM クレデンシャルをダンプします。 WCE は、メモリからクレデンシャルを取り出します。

インストール

  • zip ファイルをダウンロードし、解凍します。

使い方

C:\Users\test>wce.exe -s

WCE で NTLM ハッシュを生成する

C:\Users\test>wce.exe -g mypassword

WCE のセーフモード

C:\Users\test>wce.exe -f

ウイルス対策ソフトでスキャンした場合

「不審なプログラム HackTool.AEPE」と判定されます。

関連項目