两款读取内存中window登录凭证的工具

WCE(windows credential editor):http://www.ampliasecurity.com/research/wcefaq.html

WCE的使用简介:参数解释:


-l :列出登录的会话和NTLM凭据(默认值)
-s:修改当前登录会话的NTLM凭据 参数:<用户名>:<域名>:<LM哈希>:<NT哈希>
-r :不定期的列出登录的会话和NTLM凭据,如果找到新的会话,那么每5秒重新列出一次
-c :用一个特殊的NTML凭据运行一个新的会话 参数:<cmd>
-e :不定期的列出登录的会话和NTLM凭据,当产生一个登录事件的时候重新列出一次
-o :保存所有的输出到一个文件 参数:<文件名>
-i :指定一个LUID代替使用当前登录会话 参数:<luid>
-d:从登录会话中删除NTLM凭据 参数:<luid>
-a:使用地址 参数: <地址>
-f:强制使用安全模式
-g:生成LM和NT的哈希 参数<密码>
-K :缓存kerberos票据到一个文件(unix和windows wce格式)
-k:从一个文件中读取kerberos票据并插入到windows缓存中
-w:通过摘要式认证缓存一个明文的密码
-v:详细输出

mimikatz:https://github.com/gentilkiwi/mimikatz

感谢看完指鹤文章,希望指鹤的文章对您有所帮助。

闲暇时,指鹤喜欢写一些文章,部分发表在了豆瓣,若是您对此感兴趣,您可以点击下面连接支持下指鹤,指鹤在此表示感谢了

绝命笔记 一封匿名信引发的追寻 迷案追凶 量子危机

Leave a Reply