WmicExec
Funktionsweise erklärt
Prozesse können auf Hosts geöffnet werden, bei denen der Benutzername und entweder das Passwort oder der Hash bekannt sind, indem WMI verwendet wird. Befehle werden mit WMI durch Wmiexec ausgeführt und bieten eine halbinteraktive Shell-Erfahrung.
dcomexec.py: Mit verschiedenen DCOM-Endpunkten bietet dieses Skript eine halbinteraktive Shell ähnlich wie wmiexec.py und nutzt speziell das ShellBrowserWindow DCOM-Objekt. Es unterstützt derzeit MMC20. Anwendung, Shell Windows und Shell Browser Window Objekte. (Quelle: Hacking Articles)
WMI-Grundlagen
Namespace
Strukturiert in einer verzeichnisähnlichen Hierarchie ist der oberste Container von WMI \root, unter dem zusätzliche Verzeichnisse, die als Namespaces bezeichnet werden, organisiert sind. Befehle zum Auflisten von Namespaces:
Klassen innerhalb eines Namensraums können mit folgendem Befehl aufgelistet werden:
Klassen
Das Wissen um den Namen einer WMI-Klasse, wie z.B. win32_process, und den Namespace, in dem sie sich befindet, ist für jede WMI-Operation entscheidend. Befehle zum Auflisten von Klassen, die mit win32
beginnen:
Aufruf einer Klasse:
Methoden
Methoden, die eine oder mehrere ausführbare Funktionen von WMI-Klassen sind, können ausgeführt werden.
WMI-Enumeration
WMI-Dienststatus
Befehle zur Überprüfung, ob der WMI-Dienst betriebsbereit ist:
System- und Prozessinformationen
Sammeln von System- und Prozessinformationen über WMI:
Für Angreifer ist WMI ein mächtiges Werkzeug, um sensible Daten über Systeme oder Domänen zu ermitteln.
Manuelle Remote-WMI-Abfrage
Eine unauffällige Identifizierung von lokalen Administratoren auf einem Remote-Rechner und angemeldeten Benutzern kann durch spezifische WMI-Abfragen erreicht werden. wmic
unterstützt auch das Lesen aus einer Textdatei, um Befehle gleichzeitig auf mehreren Knoten auszuführen.
Um einen Prozess über WMI remote auszuführen, wie z.B. das Bereitstellen eines Empire-Agenten, wird die folgende Befehlsstruktur verwendet. Eine erfolgreiche Ausführung wird durch einen Rückgabewert von "0" angezeigt:
Dieser Prozess veranschaulicht die Fähigkeit von WMI zur Remote-Ausführung und Systemenumeration und hebt seine Nützlichkeit sowohl für die Systemverwaltung als auch für Penetrationstests hervor.
Referenzen
Automatische Tools
Last updated