Windows身份认证过程:
不同的登录方式,有不同的验证响应方式
NTLM本地组包
Remote远程
域控制kerberos
kali中有WCE,,可以将其复制使用:
/usr/share/wce/
wce命令:
-l:显示已登录用户的身份信息
-v:显示具体信息
用户session、用户ID
-d luid :从登录会话删除NTLM认证信息
-e / r:列出登录会话和NTLM认证信息,刷新
-g password:生成LM 和 NT hash
-w:显示明文密码,该方法是通过内存中读取
wce与pwdump的区别:
wce从内存读取用户认证信息
Pw是从SAM文件中读取
注意:WCE读取用户的认证信息首先是通过安全模式在内存中读取,如果失败则会通过非安全模式注入代码到系统进程,这样可能会造成系统崩溃甚至是系统的损坏。
防护:修改注册表项
WCE(WINDOWS CREDENTIAL EDITOR)
windows身份验证编辑器
可以查看当前登录用户
>存放路径/usr/share/wce/
>wce-universal.exe -lv #通用版本 列出详细信息
>wce-universal.exe -d #删除
>wce-universal.exe -g password
#计算密码hash
>wce-universal.exe -w #读取密码
>net user +用户名 #查看用户详细信息,所在组
>wce-universal.exe -i LUID -s 密码
#修改LUID的用户密码
如何防护WCE攻击?
tspkg #维护远程相关的明文密码
wdigest #维护明文密码
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
的wdigest
