WmicExec
Come funziona spiegato
I processi possono essere aperti su host in cui sono noti il nome utente e la password o l'hash tramite l'uso di WMI. I comandi vengono eseguiti utilizzando WMI tramite Wmiexec, fornendo un'esperienza di shell semi-interattiva.
dcomexec.py: Utilizzando diversi endpoint DCOM, questo script offre una shell semi-interattiva simile a wmiexec.py, sfruttando specificamente l'oggetto DCOM ShellBrowserWindow. Attualmente supporta MMC20. Applicazione, finestre della shell e oggetti della finestra del browser. (fonte: Hacking Articles)
Fondamenti di WMI
Namespace
Strutturato gerarchicamente come una directory, il contenitore di primo livello di WMI è \root, sotto il quale sono organizzate ulteriori directory, chiamate namespace. Comandi per elencare i namespace:
Le classi all'interno di uno spazio dei nomi possono essere elencate utilizzando:
Classi
Conoscere il nome di una classe WMI, come win32_process, e il namespace in cui risiede è fondamentale per qualsiasi operazione WMI. Comandi per elencare le classi che iniziano con win32
:
Invocazione di una classe:
Metodi
I metodi, che sono una o più funzioni eseguibili delle classi WMI, possono essere eseguiti.
Enumerazione WMI
Stato del servizio WMI
Comandi per verificare se il servizio WMI è operativo:
Informazioni di sistema e processo
Raccolta di informazioni di sistema e processo tramite WMI:
Per gli attaccanti, WMI è uno strumento potente per enumerare dati sensibili sui sistemi o sui domini.
Interrogazione manuale remota di WMI
L'identificazione stealthy degli amministratori locali su una macchina remota e degli utenti connessi può essere ottenuta attraverso specifiche interrogazioni di WMI. wmic
supporta anche la lettura da un file di testo per eseguire comandi su più nodi contemporaneamente.
Per eseguire in remoto un processo tramite WMI, come ad esempio il deploy di un agente Empire, viene utilizzata la seguente struttura di comando, con l'esecuzione riuscita indicata da un valore di ritorno "0":
Questo processo illustra la capacità di esecuzione remota e di enumerazione del sistema di WMI, evidenziando la sua utilità sia per l'amministrazione di sistema che per il penetration testing.
Riferimenti
Strumenti Automatici
Last updated