Что такое редактор учетных данных Windows

Обновлено: 21.11.2024

Редактор учетных данных Windows (WCE) позволяет составлять список сеансов входа в систему, а также добавлять, изменять, перечислять и удалять связанные учетные данные (например, хэши LM/NT и билеты Kerberos). Это можно использовать, например, для выполнения pass-the-hash в Windows, получения хэшей NT/LM из памяти (из интерактивных входов в систему, служб, подключений к удаленному рабочему столу и т. д.), которые можно использовать для дальнейших атак, получения Kerberos. билеты и повторно использовать их в других системах Windows или Unix.

Журнал изменений v1.4 Beta (30 мая 2013 г.)

• Несколько исправлений ошибок
• Поддержка Windows 8
• «Универсальный двоичный файл» (один исполняемый файл с обеими версиями. Во время выполнения определяет, работает ли он в 32-разрядной или 64-разрядной версии Windows, создает дамп соответствующей версии WCE и выполняет ее)

NTLM-аутентификация

• Список сеансов входа и добавление, изменение, перечисление и удаление связанных учетных данных (например, хэшей LM/NT)
• Выполнять передачу хэша в Windows по умолчанию
• Получить хэши NT/LM из памяти (из интерактивных входов в систему, служб, подключений к удаленному рабочему столу и т. д.), которые можно использовать для аутентификации в других системах. WCE может выполнять эту задачу без внедрения кода, просто считывая и расшифровывая информацию, хранящуюся в структурах внутренней памяти Windows. Он также имеет возможность автоматически переключаться на внедрение кода, когда вышеупомянутый метод не может быть выполнен.

Аутентификация Kerberos

• Дамп билетов Kerberos (включая TGT), хранящихся на компьютерах Windows
• Повторно используйте/загрузите эти билеты на другие компьютеры Windows для аутентификации в других системах и службах.
• Повторное использование/загрузка этих билетов на *компьютеры Unix для аутентификации в других системах и службах

Дайджест-аутентификация

• Получить незашифрованные пароли, введенные пользователем при входе в систему Windows и сохраненные пакетом безопасности Windows Digest Authentication.

Поддерживаемые платформы

• Редактор учетных данных Windows поддерживает Windows XP, 2003, Vista, 7, 2008, Windows 8.

Загрузить WCE v1.4 Beta Universal — x64 — x32

Об авторе

Похожие сообщения

Habu v0.0.45 — Python Network Hack Toolkit →

Выпущен инструмент Social-Engineer Toolkit (SET) v7.7 «Blackout» →

Belati v.0.2.2-dev — швейцарский армейский нож для OSINT →

База данных уязвимостей vFeed Community Edition, накопительная сборка 06302017 →

Подпишитесь на нас в Twitter

Подписаться на рассылку новостей

Самые популярные публикации

0

Популярные сообщения

ToolsWatch – это бесплатный сервис, основанный в 2001 году, чтобы помочь аудиторам, пентестерам и экспертам по безопасности поддерживать актуальность их инструментов, ориентированных на этический взлом. ToolsWatch является соучредителем и организатором мероприятия Black Hat Arsenal. ToolsWatch основана и поддерживается NJ OUCHN (@toolswatch)

WCE – это инструмент безопасности, широко используемый специалистами по безопасности для оценки безопасности сетей Windows с помощью тестирования на проникновение.

Какая текущая версия?

Текущая версия 32-разрядной версии WCE – v1.42beta; вы можете скачать его здесь, а текущая версия WCE 64bit — v1.42beta; Вы можете скачать это здесь. Начиная с версии 1.4beta также существует «Универсальный двоичный файл», который работает как на 32-битных, так и на 64-битных платформах; вы можете скачать его здесь.

Кому следует использовать WCE?

WCE предназначен для специалистов по безопасности и пентестеров. По сути, это инструмент пост-эксплуатации для «кражи» и повторного использования хэшей NTLM, билетов Kerberos и незашифрованных паролей, которые затем можно использовать для компрометации других машин. При определенных обстоятельствах WCE может позволить вам скомпрометировать весь домен Windows после компрометации только одного сервера или рабочей станции.

Какие операционные системы поддерживает WCE?

WCE поддерживает Windows XP, Windows 2003, Vista, Windows 7 и Windows 2008 (все SP, 32-разрядные и 64-разрядные версии).

Похож ли WCE на кэшдамп?

WCE похож на pwdump?

НЕТ. Pwdump выгружает учетные данные NTLM с локального SAM. WCE выгружает учетные данные из памяти; которые используются системой для выполнения SSO; он использует ряд методов, разработанных и опубликованных автором WCE несколько лет назад. Это одна из причин, по которой вы можете скомпрометировать весь домен Windows после компрометации обычного сервера; Учетные данные NTLM, хранящиеся в памяти и полученные WCE, могли быть оставлены там, например, администраторами домена, которые подключались к серверу с помощью RDP. В этом сценарии pwdump позволит вам получить учетные данные NTLM только локального SAM, что, вероятно, будет бесполезно, поскольку сервер не является контроллером домена. Кроме того, pwdump не позволяет выполнять Pass-the-hash, а также не позволяет «украсть» и повторно использовать билеты Kerberos.

Похож ли WCE на Каина и Авеля?

Нет.WCE и Cain&Abel — это два разных инструмента с разным функционалом. На самом деле Cain&Abel не реализует никакой функциональности, реализуемой WCE, например: * Он не реализует Pass-the-Hash изначально в Windows * Он не создает дамп хэшей NTLM, хранящихся в памяти (он выгружает локальные и удаленные SAM, которые это не то же самое.Для получения дополнительной информации см. Пост-эксплуатация с WCE) * Он не реализует Pass-the-Ticket для Kerberos * Он не выводит пароли для входа в открытый текст, хранящиеся в памяти * и т. д. Это не означает, что WCE является < i>лучший инструмент, Cain&Abel также реализует многие вещи, которых нет в WCE, это просто разные инструменты с разной функциональностью. Вы должны использовать оба!

Где я могу найти дополнительную информацию о том, как работает WCE?

Презентация "Внутреннее устройство WCE". рутедкон 2011; Мадрид, Испания. (скачать)

Где я могу найти информацию о том, как использовать WCE в пентесте?

Презентация "Постэксплуатация с помощью WCE", UBA 2011 – испанский (скачать) – английский (скачать)

Какие права мне нужны для запуска WCE?

Для запуска WCE и возможности кражи учетных данных NTLM из памяти необходимы права локального администратора. Это постэксплуатационный инструмент. Вам также необходимы права локального администратора для выполнения Pass-The-Hash (изменения текущих учетных данных NTLM или запуска новой программы в новом сеансе входа в Windows с указанными учетными данными NTLM).

Как просмотреть учетные данные NTLM в памяти?

По умолчанию WCE перечисляет учетные данные NTLM в памяти, нет необходимости указывать какие-либо параметры. Например:

В этом случае указан только один набор пользователей/учетных данных. Если в памяти больше, будет отображаться больше.

Как изменить текущие учетные данные NTLM?

wce.exe -s : : :
Например:

Как создать новый сеанс входа и запустить программу с новыми учетными данными NTLM?

В этот момент будет запущен новый экземпляр cmd.exe, и сетевые подключения с использованием NTLM, инициированные из этого экземпляра, будут использовать указанные учетные данные NTLM. Конечно, вы можете запустить любую программу, а не только cmd.exe. Эта функция очень полезна, потому что вы можете выполнять множество тестов и использовать Pass-the-Hash для множества разных пользователей без необходимости изменять текущий сеанс входа в Windows и учетные данные.

Как я могу генерировать хэши NTLM с помощью WCE? (в целях тестирования)

wce.exe -g Например:

При тестировании WCE и других вещей очень часто возникает необходимость генерировать хэши LM и NT из пароля. Это можно сделать с помощью параметра '-g', как показано выше.

Что такое «безопасный режим»?

WCE — это первый и единственный инструмент, который может считывать учетные данные NTLM, хранящиеся в памяти Windows, без внедрения кода. WCE может находить и понимать недокументированные структуры, используемые Windows для хранения учетных данных, находить ключи шифрования и расшифровывать учетные данные, просто читая системную память. Этот метод очень и очень безопасен (в конце концов, инструмент просто читает память; отсюда и название «безопасный режим») и пытается гарантировать, что система, в которой выполняется WCE, не выйдет из строя. Это чрезвычайно важно, если вы тестировщик на проникновение и хотите запустить WCE, не рискуя сбоем сервера. WCE сначала автоматически попытается использовать этот метод при получении учетных данных NTLM из памяти; однако он также автоматически попытается внедрить код, если первый метод не удался. По этой причине, если вы хотите убедиться, что WCE будет пытаться получить учетные данные NTLM только путем чтения памяти (без внедрения кода), вы можете использовать переключатель -f (принудительно использовать «безопасный режим»). Пример:

При этом вы используете инструмент на свой страх и риск; никаких гарантий не дается.

Как я могу записать хэши, полученные WCE, в файл?

Используйте ключ -o. Например:

Как с помощью WCE сбросить открытые пароли для входа в систему?

Переключатель -w можно использовать для вывода паролей входа в систему, хранящихся в виде открытого текста с помощью пакета проверки подлинности Windows Digest. Например:

C:\>wce -w WCE v1.3beta (редактор учетных данных Windows) - (c) 2010,2011,2012 Amplia Security - Эрнан Очоа (hernan@ampliasecurity com) Используйте -h для справки. test\МОЙ ДОМЕН:mypass1234 СЕТЕВАЯ СЛУЖБА\РАБОЧАЯ ГРУППА:test

В этом видео показано использование переключателя -w в Windows 2008 Server (для лучшего качества смотрите в разрешении 720p).

Как я могу предотвратить вывод WCE моего пароля для входа в открытый текст?

При входе в систему Windows; ваш открытый пароль передается всем пакетам безопасности, установленным в системе. Это включает в себя пакет безопасности NTLM (msv1_0.dll), пакет безопасности Kerberos (kerberos.dll), пакет безопасности дайджест-аутентификации (wdigest.dll) и т. д. Эти пакеты берут открытый пароль и в основном делают с ним то, что хотят. Например, пакет безопасности NTLM создает и сохраняет в памяти хэши NTLM, отбрасывая пароль в открытом виде, а пакет Digest Authentication сохраняет в памяти зашифрованный пароль в открытом виде.Методы, изобретенные WCE, как раз и заключаются в извлечении из этих пакетов этих учетных данных, хранящихся в памяти.

По этой причине один из способов предотвратить сброс WCE вашего открытого пароля для входа и других учетных данных — избегать загрузки пакетов безопасности, из которых WCE их извлекает. Они определены в реестре по следующему адресу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages. Там вы найдете список, похожий на следующий: kerberos msv1_0 schannel wdigest tspkg pku2u Вы можете удалить элемент из списка и (после перезагрузка) Windows не загрузит соответствующий пакет безопасности. Например, вы можете удалить wdigest и tspkg, и WCE не сможет получить дамп открытого пароля, хранящегося в этих пакетах, просто потому, что они больше не будут загружаться. Хотя это работает, имейте в виду, что вы можете столкнуться с проблемами, если в вашей среде используется один из удаленных пакетов безопасности; вам нужно будет проверить, как это влияет на вас конкретно. Кроме того, удаление основных пакетов безопасности, таких как msv_1_0, может иметь катастрофические последствия, поэтому применяйте этот метод на свой страх и риск.

WCE обнаруживается антивирусом/HIPS. что я могу сделать, чтобы избежать обнаружения?

Используйте PE Packer, например UPX. Если UPX не помогает, попробуйте другие PE Packers, их много. Кроме того, поскольку вам нужны права администратора для запуска WCE, попробуйте отключить AV/HIPS перед запуском WCE.

Что такое GETLSASRVADDR.EXE?

GETLSASRVADDR.exe — это инструмент (входит в состав WCE), который можно использовать для автоматического получения необходимых адресов, чтобы WCE мог считывать сеансы входа и учетные данные NTLM из памяти (без внедрения кода). когда WCE не может сделать это самостоятельно из коробки. Полученные адреса затем можно использовать с WCE с ключом -A. Для этого инструмента требуются библиотеки DLL symsrv.dll и dbghelp.dll, доступные в пакете "Debugging Tools for Windows".

Когда следует использовать GETLSARVADDR.EXE?

В принципе, вам следует использовать GETLSASRVADDR.exe, если вы хотите использовать «безопасный режим» для извлечения хэшей из памяти в системе, где стандартный WCE не может заставить его работать. . GETLSASRVADDR.exe предоставит вам информацию, необходимую WCE для работы «безопасного режима».

Я не могу заставить GETLSASRVADDR.EXE работать. В чем проблема?

Кто автор WCE? Является ли он также автором PSH Toolkit?

Чем WCE лучше PSH Toolkit?

Инструментарий Pass-The-Hash (PSH) больше не работает. Он не поддерживает новые обновления для Windows XP и 2003; и он вообще НЕ поддерживает Windows 7 и 2008. WCE — это, по сути, полностью переписанная форма, она использует новые методы и автоматически делает множество вещей, чтобы упростить ее использование и заставить ее работать автоматически на большем количестве платформ. Он также отлично работает со всеми версиями Windows, включая Windows 7 и 2008; и это единственный инструмент, который может считывать учетные данные, просто читая память; что очень важно для тестировщиков на проникновение, так как это означает, что шансы краха сервера при использовании WCE практически равны нулю (хотя ни автор, ни Amplia Security никак этого не гарантируют, вы используете инструмент на свой страх и риск). Кроме того, PSH Toolkit не позволяет «красть» и повторно использовать билеты Kerberos. (Примечание: помните, что автор WCE также является автором PSH Toolkit).

Редактор учетных данных Windows v1.3beta

Эта фиксация не принадлежит ни к одной из веток в этом репозитории и может принадлежать ответвлению за пределами репозитория.

Последняя фиксация

Статистика Git

Файлы

Не удалось загрузить последнюю информацию о коммите.

README.md

Редактор учетных данных Windows (WCE) v1.3beta позволяет

• Список сеансов входа и добавление, изменение, перечисление и удаление связанных учетных данных (например, хэшей LM/NT)
• Выполнять передачу хэша в Windows по умолчанию
• Получить хэши NT/LM из памяти (из интерактивных входов в систему, служб, подключений к удаленному рабочему столу и т. д.), которые можно использовать для аутентификации в других системах. WCE может выполнять эту задачу без внедрения кода, просто считывая и расшифровывая информацию, хранящуюся в структурах внутренней памяти Windows. Он также имеет возможность автоматически переключаться на внедрение кода, когда вышеупомянутый метод не может быть выполнен

• Дамп билетов Kerberos (включая TGT), хранящихся на компьютерах Windows
• Повторно используйте/загрузите эти билеты на другие компьютеры Windows для аутентификации в других системах и службах
• Повторное использование/загрузка этих билетов на *компьютеры Unix для аутентификации в других системах и службах

• Получить незашифрованные пароли, введенные пользователем при входе в систему Windows и сохраненные пакетом безопасности Windows Digest Authentication

Редактор учетных данных Windows поддерживает Windows XP, 2003, Vista, 7 и 2008.

Этому инструменту требуются права администратора для создания дампа и добавления/удаления/изменения учетных данных NTLM, а также для вывода незашифрованных паролей, хранящихся в пакете безопасности Windows Digest Authentication.

Билеты Kerberos можно получить как обычный пользователь, хотя для получения сеансовых ключей могут потребоваться права администратора в зависимости от конфигурации системы.

Помните, что это инструмент для атаки и последующей эксплуатации.

Редактор учетных данных Windows предоставляет следующие параметры:

Параметры:
-l Список сеансов входа и учетных данных NTLM (по умолчанию). -s Изменяет учетные данные NTLM для текущего сеанса входа в систему. Параметры: . -r Список сеансов входа и учетных данных NTLM на неопределенный срок. Обновляется каждые 5 секунд при обнаружении новых сеансов. Необязательно: -р. -c Запустить в новом сеансе с указанными учетными данными NTLM. Параметры: . -e Список учетных данных NTLM сеансов входа в систему на неопределенный срок. Обновляется каждый раз, когда происходит вход в систему. -o сохраняет весь вывод в файл. Параметры: . -i Указать LUID вместо использования текущего сеанса входа в систему. Параметры: . -d Удалить учетные данные NTLM из сеанса входа в систему. Параметры: . -a Использовать адреса. Параметры: -f Форсировать «безопасный режим». -g Сгенерировать LM и NT Hash. Параметры: . -K Выгружать билеты Kerberos в файл (форма unix и 'windows wce' at) -k Читать билеты Kerberos из файла и вставлять в кэш Windows -w Выгружать пароли в открытом виде, хранящиеся в пакете проверки подлинности дайджеста -v подробный вывод.

Текущий сеанс входа LUID: 00064081h Найдено сеансов входа: 8 WIN-REK2HG6EBIS\auser:NTLM LUID:0006409Fh WIN-REK2HG6EBIS\auser:NTLM LUID:00064081h NT AUTHORITY\ANONYMOUS LOGON:NTLM LUID:00019137h NT AUTHORITY\ANONYMOUS LOGON:NTLM LUID:00019137h NT LUID:000003E3h NT AUTHORITY\LOCAL SERVICE:Согласовать LUID:000003E5h WORKGROUP\WIN-REK2HG6EBIS$:Согласовать LUID:000003E4h :NTLM LUID:0000916Ah WORKGROUP\WIN-REK2HG6EBIS$:NTLM LUID:000h> <Р> Изменение NTLM учетных данных текущего сеанса входа в системе (00064081h) в системе: Имя пользователя: домен Auser: админ LMHash: 99999999999999999999999999999999 NTHash: 99999999999999999999999999999999 NTLM учетных данных успешно изменен <Р> Изменение NTLM учетных данных для входа сеанс 000003E5h в систему: домен Auser: админ LMHash: 99999999999999999999999999999999 NTHash: 99999999999999999999999999999999 NTLM учетных данных успешно изменен

Если вы являетесь пользователем Windows, Windows Credentials Manager — это место, где ваши имена пользователей и пароли, а также другие данные для входа хранятся для последующего использования в цифровой библиотеке. Сюда входит информация о веб-сайтах и ​​приложениях, а также сетевые учетные данные.

В этой статье мы объясняем основные этапы управления вашими паролями и другой конфиденциальной информацией, чтобы вы могли добавлять, изменять, удалять и создавать резервные копии своих данных. Хотя диспетчер учетных данных Windows существует со времен Windows 7, в этой статье основное внимание уделяется версии для Windows 10. Однако многие обсуждаемые действия будут аналогичны предыдущим версиям Windows.

• Нужен новый надежный пароль? Ознакомьтесь с лучшими генераторами паролей
• Забыли пароль? Это лучшие решения для восстановления пароля.
• Вот наш список лучших программ для управления корпоративными паролями.

Что делает диспетчер учетных данных Windows?

Являясь встроенным в Windows бесплатным менеджером паролей, Credential Manager будет хранить учетные данные для входа, включая имена пользователей, пароли и адреса, для использования на локальном компьютере или на других компьютерах в той же сети или на сервере.

Какие учетные данные сохраняются диспетчером учетных данных Windows?

Сохраненные пароли и другая сохраненная информация разделены на две категории в версии Windows 10 диспетчера учетных данных Windows: веб-учетные данные, такие как входы на веб-сайты, и учетные данные Windows, такие как информация, используемая только службами и приложениями Windows. Это упрощение более ранних версий Windows, представленное в Windows 8.1. Ранее существовало четыре категории хранимой информации.

Учетные данные Windows включают несколько типов данных, в том числе учетные данные на основе сертификатов, которые в основном используются в сложной сетевой среде предприятия. Большинству пользователей они не потребуются. Однако вы можете узнать больше о включении более сложных учетных данных на основе сертификатов с помощью сторонних центров сертификации на страницах поддержки Microsoft.

Категория учетных данных Windows также включает информацию об установленных приложениях, которая дает вашему компьютеру или другим пользователям в сети разрешение на использование соответствующих программ. Это делает диспетчер учетных данных Windows простым способом управления конфиденциальной информацией, которая может потребоваться вам при выполнении повседневных задач и в общих сетях. Программы, получающие доступ к таким данным, могут включать Microsoft Office, Skype или OneDrive.

Кроме того, веб-учетные данные включают общую информацию о веб-сайте, такую ​​как имена пользователей, пароли, адреса электронной почты и другие данные для входа в систему для использования в Интернете.

Как получить доступ к диспетчеру учетных данных Windows?

Откройте панель управления, перейдите в «Учетные записи пользователей» и выберите «Диспетчер учетных данных». Кроме того, используйте поле поиска на панели задач для поиска «менеджер учетных данных». Вы увидите два хранилища: веб-учетные данные и учетные данные Windows. Здесь вы найдете всю сохраненную информацию, указанную под этими заголовками. Если у вас возникли проблемы, вы можете найти актуальную информацию и поддержку Windows Credential Manager через Microsoft.

Как мне управлять сохраненными паролями?

Управлять сохраненными учетными данными относительно просто. Перейдите к диспетчеру учетных данных, как указано выше. Чтобы добавить учетные данные, выберите Добавить учетные данные Windows или Добавить учетные данные на основе сертификата, после чего вам будет предложено добавить дополнительную информацию.

Если вы выберете, например, «Добавить учетные данные Windows», вам будет предложено добавить IP-адрес, имя пользователя и пароль, необходимые для этих учетных данных. После того как вы введете эту информацию и сохраните ее, она будет добавлена ​​в вашу библиотеку диспетчера учетных данных Windows.

В этой области вы также можете редактировать и удалять сохраненную информацию, выбирая соответственно кнопки "Редактировать" или "Удалить". Будьте осторожны при обновлении сохраненной информации и избегайте обновления зашифрованных паролей, используемых специализированными приложениями (например, программами виртуализации) через диспетчер учетных данных Windows. Вместо этого обновите эти пароли непосредственно в приложении, чтобы избежать риска повреждения доступа к ним в будущем. Если бы это произошло, вам пришлось бы переустановить и перенастроить соответствующие приложения.

Каждый раз, когда вы удаляете учетные данные из своего списка, вам будет предложено повторно ввести эту информацию при следующем входе в приложение или на веб-сайт.

Вы можете легко создать резервную копию сохраненных паролей, выбрав параметр «Резервное копирование учетных данных» в диспетчере учетных данных. Сделав это, нажмите «Обзор», чтобы выбрать место для резервной копии. Вам будет предложено указать пароль для защиты файла диспетчера учетных данных, который будет создан. Точно так же вы можете восстановить сохраненные пароли на новом компьютере, выбрав «Восстановить учетные данные», а затем выбрав ранее созданный файл резервной копии.

Вопросы безопасности

Windows Credential Manager — это удобный менеджер паролей, позволяющий легко управлять конфиденциальной информацией. Однако были опасения, что хакеры могут получить доступ к сохраненным паролям.

Пароли хранятся в виде открытого текста в формате файла Credentials Manager, поэтому, если хакер проник в вашу систему с повышенными правами (локальный администратор или доступ на уровне системы на вашем устройстве), незашифрованные пароли легко взломать. .

Дополнительные меры шифрования могут помочь вам успокоиться. Однако вам потребуются необходимые технические знания для создания более сложного метода защиты данных, что снижает удобство использования Windows Credential Manager.

Встроено прямо в Windows

Функция диспетчера учетных данных Windows в Windows 10 поможет пользователям лучше управлять своими паролями и другой конфиденциальной информацией как для веб-сайтов, так и для учетных данных Windows. Легко добавлять, удалять, изменять, создавать резервные копии и восстанавливать информацию.

Некоторых пользователей может беспокоить безопасность, а Windows 10 уже стала сильной мишенью для хакеров. Пока Microsoft работает над тем, чтобы сделать свои системы более безопасными, пользователи могут чувствовать себя спокойнее благодаря дополнительному шифрованию паролей.

Безусловно, существуют более безопасные варианты хранения паролей. Однако для обычного пользователя Credential Manager легко доступен и очень удобен. Это хорошее место, чтобы начать более тщательно управлять своими конфиденциальными данными.

Читайте также:

  
• Как активировать Windows 10 по телефону
  
• Динамики не выключаются при подключении наушников в Windows 10
  
• Приложения из магазина Windows 10 не устанавливаются
  
• Как запустить Truckers 2 на Windows 7
  
• Как установить видеокодеки в Windows 7