「Windows Credentials Editor」の版間の差分

2015年6月14日 (日) 00:21時点における最新版

Windows Credentials Editor (WCE, ウィンドウズクレデンシャルズエディター) とは、Windows ログインセッションをリスト化し、クレデンシャル(LMハッシュ, NTLMハッシュ、kerberos チケットや平文のパスワードなど)の追加や削除、リスト、削除ができるセキュリティツールです。

読み方

Windows Credentials Editor: うぃんどうずくれでんしゃるずえでぃたー
WCE: だぶりゅーしーいー

1 概要
2 WCE のバージョン
3 WCE がサポートするOS
4 WCE は CacheDump のようなものか？
5 WCE は PwDump のようなものか？
6 インストール
7 コマンドラインオプション 1.42 beta
8 コマンドラインオプション 1.41 beta
9 使い方
10 WCE で NTLM ハッシュを生成する
11 WCE のセーフモード
12 ウイルス対策ソフトでスキャンした場合
13 関連項目

概要

WCE ができることは、以下の通りです。

Windows で Pass the Hash (Pass-the-Hash) を行う
- ログインセッションのNTLMクレデンシャルの変更と削除
- 新規ログインセッションの作成と任意のNTLMクレデンシャルの関連付け
メモリから NTLMハッシュを奪取する(コードインジェクションの有無に関わらず)
- ログインセッションのリストと復号
wce.exe １つあれば、実行できる
- 簡単に利用、アップロードなどができる
Windows マシンから kerberos チケットを奪取する
奪取した kerberos チケットを使って、ほかの Windows や Unix マシンのシステムやサービスにアクセスする。
Windows 認証パッケージによって保存されている平文のパスワードをダンプする。

WCE は、セキュリティプロフェッショナルによって、ペネトレーションテストを通して、Windows ネットワークのセキュリティアクセスのために幅広く使用されるセキュリティツールです。

WCE のバージョン

2015/06/13 におけるバージョンは、以下の通りです。

2013/08/25 におけるバージョンは、以下の通りです。

WCE 32bit: version 1.41 beta.; http://www.ampliasecurity.com/research/wce_v1_41beta_x32.zip
WCE 64bit: version 1.41 beta; http://www.ampliasecurity.com/research/wce_v1_41beta_x64.zip
ユニバーサルバイナリ 32bit/64bit: http://www.ampliasecurity.com/research/wce_v1_41beta_universal.zip

WCE がサポートするOS

Windows 7
Windows Vista
Windows XP
Windows 2008
Windows 2003

WCE は CacheDump のようなものか？

WCE は、CacheDump ではありません。 CacheDump は、Windows Credentials Cache (login cache, login information cache, など) から NLTM クレデンシャルを手に入れます。このキャッシュは、ネットワーク/ドメイン/Windows アドミニストレータによって、たびたび無効化されているため、使えません。 WCE は、キャッシュが無効なときでもさえも、クレデンシャルを取得可能です。 WCE は、SSOを実行するためにシステムによって使われるメモリからNTLMクレデンシャルを取得します。

WCE は PwDump のようなものか？

WCE は、PwDump ではありません。 PwDump は、ローカルのSAMデータベースから NTLM クレデンシャルをダンプします。 WCE は、メモリからクレデンシャルを取り出します。

インストール

zip ファイルをダウンロードし、解凍します。
wce をダウンロードするときに、Firefoxなどのブラウザにブロックされることがあります。ブロックを解除することで、ダウンロードできます。

コマンドラインオプション 1.42 beta

WCE v1.42beta (Windows Credentials Editor) - (c) 2010-2013 Amplia Security -
by Hernan Ochoa (hernan@ampliasecurity.com)
Use -h for help.
Options:  
	-l		List logon sessions and NTLM credentials (default).
	-s		Changes NTLM credentials of current logon session.
			Parameters: <UserName>:<DomainName>:<LMHash>:<NTHash>.
	-r		Lists logon sessions and NTLM credentials indefinitely.
			Refreshes every 5 seconds if new sessions are found.
			Optional: -r<refresh interval>.
	-c		Run <cmd> in a new session with the specified NTLM credentials.
			Parameters: <cmd>.
	-e		Lists logon sessions NTLM credentials indefinitely.
			Refreshes every time a logon event occurs.
	-o		saves all output to a file.
			Parameters: <filename>.
	-i		Specify LUID instead of use current logon session.
			Parameters: <luid>.
	-d		Delete NTLM credentials from logon session.
			Parameters: <luid>.
	-a		Use Addresses.
			Parameters: <addresses>
	-f		Force 'safe mode'.
	-g		Generate LM & NT Hash.
			Parameters: <password>.
	-K		Dump Kerberos tickets to file (unix & 'windows wce' format)
	-k		Read Kerberos tickets from file and insert into Windows cache
	-w		Dump cleartext passwords stored by the digest authentication package
	-v		verbose output.

コマンドラインオプション 1.41 beta

C:\wce_v1_41beta_x32>wce.exe -s
WCE v1.41beta (Windows Credentials Editor) - (c) 2010-2013 Amplia Security - by
Hernan Ochoa (hernan@ampliasecurity.com)
Use -h for help.
wce.exe: option requires an argument -- s
Options:
        -l              List logon sessions and NTLM credentials (default).
        -s              Changes NTLM credentials of current logon session.
                        Parameters: <UserName>:<DomainName>:<LMHash>:<NTHash>.
        -r              Lists logon sessions and NTLM credentials indefinitely.
                        Refreshes every 5 seconds if new sessions are found.
                        Optional: -r<refresh interval>.
        -c              Run <cmd> in a new session with the specified NTLM credentials.
                        Parameters: <cmd>.
        -e              Lists logon sessions NTLM credentials indefinitely.
                        Refreshes every time a logon event occurs.
        -o              saves all output to a file.
                        Parameters: <filename>.
        -i              Specify LUID instead of use current logon session.
                        Parameters: <luid>.
        -d              Delete NTLM credentials from logon session.
                        Parameters: <luid>.
        -a              Use Addresses.
                        Parameters: <addresses>
        -f              Force 'safe mode'.
        -g              Generate LM & NT Hash.
                        Parameters: <password>.
        -K              Dump Kerberos tickets to file (unix & 'windows wce' format)
        -k              Read Kerberos tickets from file and insert into Windows cache
        -w              Dump cleartext passwords stored by the digest authentication package
        -v              verbose output.

使い方

C:\Users\test>wce.exe -s

C:\>wce.exe -s <user>:<domain>:<LM hash>:<NT hash> -c cmd.exe

WCE で NTLM ハッシュを生成する

C:\Users\test>wce.exe -g mypassword

C:\tmp\wce_v1_41beta_x32>wce.exe -g hoge
WCE v1.41beta (Windows Credentials Editor) - (c) 2010-2013 Amplia Security - by
Hernan Ochoa (hernan@ampliasecurity.com)
Use -h for help.
 
Password:   hoge
Hashes:     6EA969D732A58357AAD3B435B51404EE:5272F5E0E90A98359C10B0518C9125CA

WCE のセーフモード

C:\Users\test>wce.exe -f

ウイルス対策ソフトでスキャンした場合

「不審なプログラム HackTool.AEPE」と判定されます。

@@ 行1: / 行1: @@
-<!--
-vim: filetype=mediawiki
--->
 [[Windows Credentials Editor]]  (WCE, ウィンドウズクレデンシャルズエディター) とは、Windows ログインセッションをリスト化し、クレデンシャル([[LMハッシュ]], [[NTLMハッシュ]]、[[kerberos]] チケットや[[平文]]の[[パスワード]]など)の追加や削除、リスト、削除ができるセキュリティツールです。
@@ 行10: / 行7: @@
 == 概要 ==
 WCE ができることは、以下の通りです。
-* [[Windows]] で [[Pass-the-Hash]] を行う
+* [[Windows]] で [[Pass the Hash]] (Pass-the-Hash) を行う
-* メモリから [[NTLMハッシュ]] を奪取する([[コードインジェクションの有無に関わらず)
+** ログインセッションのNTLMクレデンシャルの変更と削除
+** 新規ログインセッションの作成と任意のNTLMクレデンシャルの関連付け
+* メモリから [[NTLMハッシュ]] を奪取する([[コードインジェクション]]の有無に関わらず)
+** ログインセッションのリストと復号
+* wce.exe １つあれば、実行できる
+** 簡単に利用、アップロードなどができる
 * [[Windows]] マシンから [[kerberos]] チケット を奪取する
-* ガッシュした [[kerberos]]] チケットを使って、ほかの [[Windows]] や [[Unix]] マシンのシステムやサービスにアクセスする。
+* 奪取した [[kerberos]] チケットを使って、ほかの [[Windows]] や [[Unix]] マシンのシステムやサービスにアクセスする。
 * Windows 認証パッケージによって保存されている[[平文]]の[[パスワード]] をダンプする。
 WCE は、セキュリティプロフェッショナルによって、[[ペネトレーションテスト]]を通して、Windows ネットワークのセキュリティアクセスのために幅広く使用されるセキュリティツールです。
 == WCE のバージョン ==
+/06/13 におけるバージョンは、以下の通りです。
+* [http://www.ampliasecurity.com/research/wce_v1_42beta_x32.zip WCE v1.42beta (32-bit)]
+* [http://www.ampliasecurity.com/research/wce_v1_42beta_x64.zip WCE v1.42beta (64-bit)]
+* [http://www.ampliasecurity.com/research/wce_v1_41beta_universal.zip Universal Binary]
 /08/25 におけるバージョンは、以下の通りです。
 ;WCE 32bit: version 1.41 beta.
 :http://www.ampliasecurity.com/research/wce_v1_41beta_x32.zip
@@ 行31: / 行34: @@
 ;ユニバーサルバイナリ 32bit/64bit:
 :http://www.ampliasecurity.com/research/wce_v1_41beta_universal.zip
 == WCE がサポートするOS ==
 * [[Windows 7]]
+* [[Windows Vista]]
 * [[Windows XP]]
 * Windows 2008
 * Windows 2003
+== WCE は CacheDump のようなものか？ ==
-== WCE は cachedump のようなものか？ ==
+WCE は、[[CacheDump]] ではありません。
+[[CacheDump]] は、Windows Credentials Cache (login cache, login information cache, など) から NLTM クレデンシャル を手に入れます。
-WCE は、[[cachedump]] ではありません。
-[[cachedump]] は、[[Windows Credentials Cache]] (login cache, login information cache, など) から NLTM クレデンシャル を手に入れます。
 このキャッシュは、ネットワーク/ドメイン/[[Windows]] [[システム管理者|アドミニストレータ]] によって、たびたび無効化されているため、使えません。
 WCE は、キャッシュが無効なときでもさえも、クレデンシャルを取得可能です。
@@ 行49: / 行49: @@
 == WCE は PwDump のようなものか？ ==
 WCE は、[[PwDump]] ではありません。
-[[Pwdump]] は、ローカルの[[SAM]] から NTLM クレデンシャルをダンプします。
+[[PwDump]] は、ローカルの[[SAMデータベース]] から NTLM クレデンシャルをダンプします。
 WCE は、メモリからクレデンシャルを取り出します。
 == インストール ==
 * zip ファイルをダウンロードし、解凍します。
+* wce をダウンロードするときに、Firefoxなどのブラウザにブロックされることがあります。ブロックを解除することで、ダウンロードできます。
+== コマンドラインオプション 1.42 beta ==
+<syntaxhighlight lang="dos">
+WCE v1.42beta (Windows Credentials Editor) - (c) 2010-2013 Amplia Security -
+by Hernan Ochoa (hernan@ampliasecurity.com)
+Use -h for help.
+Options:
+	-l		List logon sessions and NTLM credentials (default).
+	-s		Changes NTLM credentials of current logon session.
+			Parameters: <UserName>:<DomainName>:<LMHash>:<NTHash>.
+	-r		Lists logon sessions and NTLM credentials indefinitely.
+			Refreshes every 5 seconds if new sessions are found.
+			Optional: -r<refresh interval>.
+	-c		Run <cmd> in a new session with the specified NTLM credentials.
+			Parameters: <cmd>.
+	-e		Lists logon sessions NTLM credentials indefinitely.
+			Refreshes every time a logon event occurs.
+	-o		saves all output to a file.
+			Parameters: <filename>.
+	-i		Specify LUID instead of use current logon session.
+			Parameters: <luid>.
+	-d		Delete NTLM credentials from logon session.
+			Parameters: <luid>.
+	-a		Use Addresses.
+			Parameters: <addresses>
+	-f		Force 'safe mode'.
+	-g		Generate LM & NT Hash.
+			Parameters: <password>.
+	-K		Dump Kerberos tickets to file (unix & 'windows wce' format)
+	-k		Read Kerberos tickets from file and insert into Windows cache
+	-w		Dump cleartext passwords stored by the digest authentication package
+	-v		verbose output.
+</syntaxhighlight>
+== コマンドラインオプション 1.41 beta ==
+<syntaxhighlight lang="dos">
+C:\wce_v1_41beta_x32>wce.exe -s
+WCE v1.41beta (Windows Credentials Editor) - (c) 2010-2013 Amplia Security - by
+Hernan Ochoa (hernan@ampliasecurity.com)
+Use -h for help.
+wce.exe: option requires an argument -- s
+Options:
+        -l              List logon sessions and NTLM credentials (default).
+        -s              Changes NTLM credentials of current logon session.
+                        Parameters: <UserName>:<DomainName>:<LMHash>:<NTHash>.
+        -r              Lists logon sessions and NTLM credentials indefinitely.
+                        Refreshes every 5 seconds if new sessions are found.
+                        Optional: -r<refresh interval>.
+        -c              Run <cmd> in a new session with the specified NTLM credentials.
+                        Parameters: <cmd>.
+        -e              Lists logon sessions NTLM credentials indefinitely.
+                        Refreshes every time a logon event occurs.
+        -o              saves all output to a file.
+                        Parameters: <filename>.
+        -i              Specify LUID instead of use current logon session.
+                        Parameters: <luid>.
+        -d              Delete NTLM credentials from logon session.
+                        Parameters: <luid>.
+        -a              Use Addresses.
+                        Parameters: <addresses>
+        -f              Force 'safe mode'.
+        -g              Generate LM & NT Hash.
+                        Parameters: <password>.
+        -K              Dump Kerberos tickets to file (unix & 'windows wce' format)
+        -k              Read Kerberos tickets from file and insert into Windows cache
+        -w              Dump cleartext passwords stored by the digest authentication package
+        -v              verbose output.
+</syntaxhighlight>
 == 使い方 ==
-<syntaxhighlight lang="bash">
+<syntaxhighlight lang="dos">
 C:\Users\test>wce.exe -s
 </syntaxhighlight>
+<pre>
+C:\>wce.exe -s <user>:<domain>:<LM hash>:<NT hash> -c cmd.exe
+</pre>
 == WCE で NTLM ハッシュを生成する ==
-<syntaxhighlight lang="bash">
+<syntaxhighlight lang="dos">
 C:\Users\test>wce.exe -g mypassword
 </syntaxhighlight>
+<syntaxhighlight lang="dos">
+C:\tmp\wce_v1_41beta_x32>wce.exe -g hoge
+WCE v1.41beta (Windows Credentials Editor) - (c) 2010-2013 Amplia Security - by
+Hernan Ochoa (hernan@ampliasecurity.com)
+Use -h for help.
+Password:   hoge
+Hashes:     6EA969D732A58357AAD3B435B51404EE:5272F5E0E90A98359C10B0518C9125CA
+</syntaxhighlight>
 == WCE のセーフモード ==
-<syntaxhighlight lang="bash">
+<syntaxhighlight lang="dos">
 C:\Users\test>wce.exe -f
 </syntaxhighlight>
+== ウイルス対策ソフトでスキャンした場合 ==
+「不審なプログラム HackTool.AEPE」と判定されます。
 == 関連項目 ==
 * [[パスワードクラック]]
 * [[Windows]]
-* [[cachedump]]
+* [[CacheDump]]
+* [[ケルベロス認証]]
+{{crack windows password}}
+<!-- vim: filetype=mediawiki
+-->