wce工具
理解传输身份验证使用ntlm协议的原理
wce和Pwdump不同,前者是在内存中找到明文的安全包Digest Authentication Package提取用户明文密码,后者是在sam数据库中找到用户hash
kali中工具路径/usr/share/wce/
需要管理员权限(比较理想的情况,可以进一步但探测其他的账密码)
wce-universal.exe -l :查看当前登录账号的密码的密文形式的哈希值,只能读到已经登录的账号,没有未登录的账号【lmhash:nthash】
-lv:表示查看更详细的信息 【注入模式可能会对系统进程造成损坏】
-r:显示当前最新登录信息,5秒刷新一次
-e:可指定刷新时间
-d:指定LU