Windows身份认证过程:
不同的登录方式,有不同的验证响应方式
NTLM本地组包
Remote远程
域控制kerberos
kali中有WCE,,可以将其复制使用:
/usr/share/wce/
wce命令:
-l:显示已登录用户的身份信息
-v:显示具体信息
用户session、用户ID
-d luid :从登录会话删除NTLM认证信息
-e / r:列出登录会话和NTLM认证信息,刷新
-g password:生成LM 和 NT hash
-w:显示明文密码,该方法是通过内存中读取
wce与pwdump的区别:
wce从内存读取用户认证信息
Pw是从SAM文件中读取
注意:WCE读取用户的认证信息首先是通过安全模式在内存中读取,如果失败则会通过非安全模式注入代码到系统进程,这样可能会造成系统崩溃甚至是系统的损坏。
防护:修改注册表项