【权限维持技术】Windows: WMI 无文件后门（三）—— WQL查询

2023年11月13日16:14:15评论6 views字数 1354阅读4分30秒阅读模式

免责声明

本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号不为此承担任何责任。

WMI 查询

经过前两章的铺垫，我们本章终于可以了解一些WMI实际的利用。本章将介绍WMI查询。WMI查询功能是通过WQL语言实现的。

有三种类别的 WQL 查询:

实例查询

实例查询是最常见的获取 WMI 对象实例的 WQL 查询形式。实例查询的格式为：

SELECT [Class property name|*] FROM [CLASS NAME]

举个例子：

SELECT * FROM Win32_Process WHERE Name LIKE "%chrome%"

这个查询将返回所有正在运行的进程的可执行文件名称中包含"Chrome"的结果。具体地说，此查询将返回 Win32_Process 类的每个实例的所有属性的名称字段中包含字符串"Chrome"的结果。

事件查询

事件查询提供了报警机制，触发事件的类。事件查询格式如下:

SELECT [Class property name|*] FROM [INTRINSIC CLASS NAME] WITHIN [POLLING INTERVAL]

SELECT [Class property name|*] FROM [EXTRINSIC CLASS NAME]

举个例子：

SELECT * FROM __InstanceCreationEvent WITHIN 1 WHERE TargetInstance ISA 'Win32_Process'

这个命令会查询1秒内新建的所有进程。

元查询

元查询提供一个 WMI 类架构发现和检查机制。格式如下:

SELECT [Class property name|*] FROM [Meta_Class<WHERE [CONSTRAINT]>

举个例子：

SELECT * FROM Meta_Class WHERE __Class LIKE "Win32%"

以下查询将列出所有以字符串 "Win32" 开头的 WMI 类：

当执行任何 WMI 查询时，除非显式提供命名空间，否则将隐式使用默认的命名空间 ROOTCIMV2。

## 使用命令行查询

在命令行进行WMI查询，可以使用Windows包含的一个命令行工具"WMIC"。这是一个功能强大的工具，可以进行大多数的WMI查询操作。

我们可以输入以下命令获取所有在运行的进程：

wmic process list

它等价于这个WQL查询：

SELECT * FROM Win32_Process

还可以再细化一下查询，比如我想知道所有进程名包含"explore"的名字、PID和文件路径：

wmic process where name="explorer.exe" get Caption,ProcessId,ExecutablePath

【权限维持技术】Windows: WMI 无文件后门（三）—— WQL查询

总结

本文介绍了WMI的三种查询格式，以及如何使用WMIC完成示例查询。实际上WMI可以与Powershell、C等配合完成一系列复杂的操作。下一章我们将介绍WMIC如何与Powershell进行交互完成一系列强大的操作。

原文始发于微信公众号（赛博安全狗）：【权限维持技术】Windows: WMI 无文件后门（三）—— WQL查询

Linux 网络 ELI5 — 第 1 部分，网络和接口