跳转到帖子
  • 游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

    赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

    TheHackerWorld官方

穿透基础——WMIC的使用


KaiWn

推荐的帖子

0x00 前言

WMI(Windows Management Instrumentation)是一种管理功能,它提供了访问Windows系统组件的统一环境,并支持本地和远程访问。前面的文章《WMI Attacks》,《WMI Backdoor》,《WMI Defense》,《Study Notes of WMI Persistence using wmic.exe》已经介绍了相关内容。本文将从信息收集和横向移动的角度分析wmic的常用方法,并基于利用思路给出一些防御建议。

0x01 简介

本文将介绍以下内容:

wbemtest的用法

通过wmic查询主机信息

通过wmic修改注册表

通过wmic执行程序

以及本地和远程访问WMI服务。

0x02 wbemtest用法

参考资料:

https://docs . Microsoft . com/en-us/mem/config mgr/develop/core/understand/introduction-to-WBEM test

Windows是默认安装的,可用于连接到WMI命名空间和访问WMI服务。

在wbemtest的帮助下,我们可以获得WMI完整的功能细节和用法。

界面如下

2-1.png

单击连接.并输入WMI命名空间root\cimv2。连接root\cimv2后,即可进入主页面,如下图所示。

2-2.png

常见函数的示例如下:

(1)Enum Classes…

类,可用于枚举所有对象和查询每个类的定义。

以查询Win32_Process对象为例:

选择枚举类.-递归-OK,选择Win32_Process,双击进入对象编辑器,如下图所示。

2-3.png

属性栏可以查看属性,比如这里是Handle,可以通过查询来查询.以后再说。

“方法”列可以查看方法,例如,Create is here,它可以由Execute方法调用.下面。

(2)Query…

属性,需要WMI查询语言(WQL)。

参考资料:

https://docs . Microsoft . com/en-us/windows/win32/wmisdk/wql-SQL-for-wmi

示例语法:

从Win32_Process中选择句柄

查询结果如下

2-4.png

用wmic替换该查询语句的命令如下:

wmic/namespace:“\ \ root \ CIM v2”路径Win32_Process获取句柄

(3)Execute Method…

调用方法。这里以调用Win32_Process对象的Create方法为例。

将对象路径设置为Win32_Process,然后单击确定。

在弹出的界面中设置创建的方法。

单击参数中的编辑.并在弹出的界面中选择命令行-编辑属性。

将Valve设置为calc,如下图所示

2-5.png

点击保存对象-执行!弹出计算器

将上述操作更改为wmic的完整命令如下:

wmic/namespace:“\ \ root \ CIM v2”路径Win32_Process调用create“calc”

速记命令如下:

wmic流程调用创建“计算”

0x03 本地和远程访问WMI服务

1.查询主机名称

本地:

wmic/namespace:“\ \ root \ CIM v2”路径Win32_ComputerSystem get Name

远程:

wmic/node:192 . 168 . 1 . 1/user:' administrator '/password:' 123456 '/namespace:' \ \ root \ CIM v2 ' PATH Win32 _ ComputerSystem get Name

2.注册表操作

详情请咨询《Study Notes of WMI Persistence using wmic.exe》。

以下是一些常见的命令:

(1)获得当前用户的远程桌面连接历史记录

使用以下命令枚举注册表项HKCU:\ software \ Microsoft \ terminal server client \ servers:

wmic/namespace:“\ \ root \ CIM v2”路径stdregprov调用enum key ^h80000001,'software\microsoft\terminal服务器客户端\Servers”

(2)远程查询和修改Restricted Admin Mode

受限管理模式的内容请参考《渗透技巧——Pass the Hash with Remote Desktop(Restricted Admin mode)》。

C Sharp实现远程查询和修改受限管理模式可以参考:

https://github.com/GhostPack/RestrictedAdmin

https://github.com/airzero24/WMIReg

查询远程受限管理模式的wmic命令如下:

wmic/node:192 . 168 . 1 . 1/user:' administrator '/password:' 123456 '/namespace:' \ \ root \ CIM v2 ' path stdreg prov调用getdwordvalue ^h80000002,'system\currentcontrolset\control\lsa','disablerestrictedadmin'

打开远程受限管理模式的wmic命令如下:

wmic/node:192 . 168 . 1 . 1/user:' administrator '/password:' 123456 '/namespace:' \ \ root \ CIM v2 ' path stdreg prov call setdwordvalue ^h80000002,'system\ current control set \ control \ LSA ',' DisableRestrictedAdmin ',' 0 '

关闭远程受限管理模式的wmic命令如下:

wmic/node:192 . 168 . 1 . 1/user:' administrator '/password:' 123456 '/namespace:' \ \ root \ CIM v2 ' path stdreg prov call setdwordvalue ^h80000002,'system\ current control set \ control \ LSA ',' DisableRestrictedAdmin ',' 1 '

3.执行程序

本地:

wmic流程调用创建"计算"

远程:

wmic/node:192。168 .1 .1/用户:'管理员'/密码:' 123456 '进程调用创建“计算”

4.进程操作

查询本地所有进程:

wmic/namespace:"\ \ root \ CIM v2 "路径Win32_Process get name,processid,命令行/FORMAT:list

查询远程主机所有进程:

wmic/node:192。168 .1 .1/user:' administrator '/password:' 123456 '/namespace:' \ \ root \ CIM v2 ' PATH Win32 _ Process get name,processid,commandline /FORMAT:list

其他用法还可参考:https://个文档。微软。com/en-us/archive/blogs/jhoward/wmic-samples

0x04 防御检测

需要注意的是,默认配置下WMI的日志记录很少,无法记录WMI的命令细节

WMI-活动的找到;查出日志能够记录简单的日志,但也无法记录WMI的命令细节,开启方法如下:

打开事件查看器,选择查看-显示分析和调试日志

依次选择应用程序和服务日志-微软视窗WMI活动-跟踪,点击启用日志

使用wmic命令时,默认启动进程c:\ windows \ system32 \ WBEM \ wmic。exe,这里可以选择Sysmon记录进程创建的细节,查看命令行获得WMI的命令细节

详细日志细节可参考:https://jpcertcc。github。io/工具分析结果表/详情/wmic。html文件的后缀

也可以选择开源的数字取证工具迅猛龙,能够记录进程创建的细节,包括命令行

0x05 小结

本文介绍了wmic的相关基础知识,结合利用思路,给出防御建议。

留下回复

链接帖子
意见的链接
分享到其他网站

黑客攻防讨论组

黑客攻防讨论组

    You don't have permission to chat.
    • 最近浏览   0位会员

      • 没有会员查看此页面。
    ×
    ×
    • 创建新的...