参数解释:
-l 列出登录的会话和NTLM凭据（默认值）
-s 修改当前登录会话的NTLM凭据 参数：<用户名>:<域名>::
-r 不定期的列出登录的会话和NTLM凭据，如果找到新的会话，那么每5秒重新列出一次
-c 用一个特殊的NTML凭据运行一个新的会话 参数：
-e 不定期的列出登录的会话和NTLM凭据，当产生一个登录事件的时候重新列出一次
-o 保存所有的输出到一个文件 参数:<文件名>
-i 指定一个LUID代替使用当前登录会话 参数:
-d 从登录会话中删除NTLM凭据 参数:
-a 使用地址 参数: <地址>
-f 强制使用安全模式
-g 生成LM和NT的哈希 参数<密码>
-K 缓存kerberos票据到一个文件（unix和windows wce格式）
-k 从一个文件中读取kerberos票据并插入到windows缓存中
-w 通过摘要式认证缓存一个明文的密码
-v 详细输出

常用命令记录
wce.exe -w 读取系统管理员明文密码(sam)：

这里说明一下，图中每个用户名：号和HASH：号之间的就是域或计算机名，图里的域名称是：BIGTH。计算机名是：BKKWEB01，显示的就是此台计算机名
BKKWEB01对应的用户是本地用户不具备域权限。BIGTH是域用户，可以登陆域内任何主机。

获得了域用户的HASH，就用工具配合彩虹表破解，1分钟左右，密码就出来了。登陆域控主机，使用FTP把WCE软件传过来

后再 WCE -l 一下，这次可把域控管理员的HASH也拿到了。