Varsayılan durumda bir bilgisayarın kayıt defteri konsoluna uzaktan erişim sağlayabilmek için o bilgisayara ait bir yönetici hesabının kimlik bilgileri gerekmektedir. Bu bilgisayarda yönetici olan hesabın adının Vedat, Vedat kullanıcısının parola özetinin ise AAD3B435B51404EEAAD3B435B51404EE:FA320A5CF3D53B4E74BBAC73047186F2 olduğunu varsayalım. Bu bilgilerle, hedef sistemin kayıt defterine erişim sağlamak için WCE aracı kullanılacaktır.
WCE aracının “-s” seçeneği ile, RAM üzerinde bulunan oturumun NTLM kimlik bilgileri değiştirilebilir. Normalde RAM üzerinde Saldirgan adlı hesabın parolasının açık hali ve özet hali bulunmaktadır:
wce -l
wce -w
WCE aracı ile RAM üzerindeki oturuma ait NTLM bilgileri Vedat hesabına ait kimlik bilgileri (Kullanıcı adı ve parola özeti) ile değiştirilebilir. WCE aracı “-s” seçeneği ile çalıştırıldıktan sonra, Saldirgan hesabına ait parolanın NTLM özet bilgilerinin, Vedat’ın parolasına ait NTLM özet bilgileri ile değiştiği görülmektedir. Bunun yanında parolanın açık halinin değişmediği de görülmektedir.
wce -s WORKGROUP:Vedat:AAD3B435B51404EEAAD3B435B51404EE:FA320A5CF3D53B4E74BBAC73047186F2
wce -l
wce -w
Hedef sistemin paylaşılan kaynaklarına erişim sağlayabilmek için, öncelikle bağlantının kurulması gerekmektedir.
net use \\172.16.67.202\C$ /USER:WORKGROUP\Vedat
net use
Bağlantı kurulduktan sonra, hedef sistemin kayıt değerlerine “Registry Editor > File > Connect Network Registry…” adımları ile erişilebilir.
Açılan pencereye erişim sağlanabilecek bilgisayarın IP adresi girilir.
Böylece, hedef sistemin kayıt değerleri listelenebilmektedir. Bu konsolda istenilen anahtarlar / veriler / değerler (yetkiler dahilinde) eklenebilir, değiştirilebilir, silinebilir.