WmicExec
Πώς Λειτουργεί Εξηγημένο
Οι διεργασίες μπορούν να ανοίξουν σε υπολογιστές όπου το όνομα χρήστη και είτε ο κωδικός πρόσβασης είτε το hash είναι γνωστά μέσω της χρήσης του WMI. Οι εντολές εκτελούνται χρησιμοποιώντας το WMI από το Wmiexec, παρέχοντας μια ημι-διαδραστική εμπειρία κέλυφους.
dcomexec.py: Χρησιμοποιώντας διάφορα σημεία τερματικής DCOM, αυτό το script προσφέρει μια ημι-διαδραστική κέλυφος παρόμοια με το wmiexec.py, εκμεταλλευόμενο ειδικά το αντικείμενο DCOM ShellBrowserWindow. Υποστηρίζει αυτή τη στιγμή τα αντικείμενα MMC20. Application, Shell Windows και Shell Browser Window. (πηγή: Hacking Articles)
Θεμελιώδης Τεχνολογία WMI
Χώρος Ονομάτων
Ο WMI είναι οργανωμένος σε ιεραρχία παρόμοια με έναν κατάλογο, με τον κορυφαίο φάκελο του WMI να είναι το \root, κάτω από τον οποίο οργανώνονται επιπλέον φάκελοι, γνωστοί ως χώροι ονομάτων. Εντολές για την εμφάνιση των χώρων ονομάτων:
Οι κλάσεις εντός ενός namespace μπορούν να εμφανιστούν χρησιμοποιώντας:
Κλάσεις
Γνωρίζοντας το όνομα μιας κλάσης WMI, όπως το win32_process, και το namespace στο οποίο ανήκει, είναι κρίσιμο για οποιαδήποτε λειτουργία WMI. Εντολές για να εμφανιστούν οι κλάσεις που αρχίζουν με win32
:
Επίκληση μιας κλάσης:
Μέθοδοι
Οι μέθοδοι, που είναι μία ή περισσότερες εκτελέσιμες συναρτήσεις των κλάσεων WMI, μπορούν να εκτελεστούν.
Απαρίθμηση WMI
Κατάσταση υπηρεσίας WMI
Εντολές για να επαληθεύσετε αν η υπηρεσία WMI λειτουργεί:
Πληροφορίες συστήματος και διεργασιών
Συλλογή πληροφοριών συστήματος και διεργασιών μέσω του WMI:
Για τους επιτιθέμενους, το WMI είναι ένα ισχυρό εργαλείο για την απαρίθμηση ευαίσθητων δεδομένων σχετικά με συστήματα ή domains.
Επιτομή Επιθεσης
Η αναζήτηση απομακρυσμένα στο WMI για συγκεκριμένες πληροφορίες, όπως τοπικοί διαχειριστές ή συνδεδεμένοι χρήστες, είναι εφικτή με προσεκτική κατασκευή των εντολών.
Χειροκίνητη Απομακρυσμένη Αναζήτηση στο WMI
Η αναγνώριση κρυφών τοπικών διαχειριστών σε απομακρυσμένο υπολογιστή και συνδεδεμένων χρηστών μπορεί να επιτευχθεί μέσω συγκεκριμένων αναζητήσεων στο WMI. Το wmic
υποστηρίζει επίσης την ανάγνωση από ένα αρχείο κειμένου για την εκτέλεση εντολών σε πολλούς κόμβους ταυτόχρονα.
Για την απομακρυσμένη εκτέλεση ενός διεργασίας μέσω WMI, όπως η εγκατάσταση ενός πράκτορα Empire, χρησιμοποιείται η παρακάτω δομή εντολής, με επιτυχή εκτέλεση που υποδηλώνεται από μια επιστρεφόμενη τιμή "0":
Αυτή η διαδικασία απεικονίζει τη δυνατότητα του WMI για απομακρυσμένη εκτέλεση και απαρίθμηση συστήματος, αναδεικνύοντας τη χρησιμότητά του τόσο για τη διαχείριση συστήματος όσο και για τον έλεγχο διείσδυσης.
Αναφορές
Αυτόματα Εργαλεία
Last updated