0x01 关于WMI
WMI可以描述为一组管理Windows系统的方法和功能。我们可以把它当作API来与Windows系统进行相互交流。WMI在渗透测试中的价值在于它不需要下载和安装, 因为WMI是Windows系统自带功能。而且整个运行过程都在计算机内存中发生,不会留下任何痕迹。这一点是其它渗透测试工具所不能相比的。
0x02 WMI信息收集
1. 检索系统已安装的软件
wmic product list brief |more
2. 搜索系统运行服务
wmic service list brief |more
2. 搜索运行中的程序
wmic process list brief |more
4. 搜索启动程序
wmic startup list brief |more
5. 搜索共享驱动盘
wmic netuse list brief |more
6. 搜索时区
wmic timezone list brief |more
7. 搜索用户帐户
wmic useraccount list brief |more
8. 搜索计算机域控制器
wmic ntdomain list brief
9. 搜索登录用户
wmic logon list brief |more
9. 搜索已安装的安全更新
wmic qfe list brief |more
0x03 WMI执行任务
WMIC不仅仅只是用于检索系统信息。在渗透测试中, 使用适当的命令,它也可以执行各种有用的任务。
1. 卸载和重新安装程序
在渗透测试中, 我们经常遇到反病毒程序阻止payload运行。 这时候我们可以通过WMIC命令来卸载反病毒程序。
Wmic product where "name like '%forit%' " get name
第二步, 通过WMIC命令来停止运行反病毒服务
Wmic process where name=“XXX.exe” call terminate
0x04 PowerShell
自从PowerShell的出现,WMI功能已经被完全整合到了PowerShell里面。在PowerShell中, WMI拥有多个类型的种类,每个种类都代表一个内部组件:Win32_proces代表当前系统所运行程序。 Win32_Service代表当前系统所运行服务等等。每个种类都有它自己的属性,我们可以使用WQL语言来进行查询。它的语法与SQL语言非常接近。那么要在Windows环境中列出所有种类, 我们可以使用PowerShell Get-WmiObject cmdlet来实现。
类型被分组在namespaces or aliases中。以上我们得到的所有资源列表都属于CIMV2 namespaces,包含大多数系统命令。还有其它可由第三方产品提供或注册的其他产品。我们可以用以下命令查找:
0x05代码执行
使用WQL与WMI相互交流只能提供只读访问,除此之外, 我们可以使用Windows上的WMIC实用程序, 向我们提供一个CMD.EXE端口。
正如前面提到的,WMI的真正优势在于能够远程控制这些系统。因此,为了在另一个系统上产生新的CMD.EXE端口,我们可以发布以下命令:
需要注意的是: 当远程执行代码时,请务必使用不受UAC限制的帐户。 比如说administrator帐户和具有本地管理权限的域帐户等等。
使用WMIC进行远程命令执行的主要挑战是将输出返回。解决这个问题的一个便捷快速的方法是将文件重定向。也就是说, 我们可以将命令输出存入共享网络驱动盘。然后再复制到本地驱动盘。
- 第一步, 设置共享网络驱动盘
- ·第二步, 再复制到本地驱动盘
- 第三步, 查看结果
