htARTE(HackTricks AWS Red Team Expert) を通じてゼロからヒーローまでAWSハッキングを学ぶ ! 動作の説明
ユーザー名とパスワードまたはハッシュがわかっているホストでプロセスを開くことができます。WMI を使用してコマンドを実行することで、Wmiexec によって半インタラクティブなシェル体験が提供されます。
dcomexec.py: 異なる DCOM エンドポイントを利用し、このスクリプトは wmiexec.py に似た半インタラクティブなシェルを提供します。具体的には、ShellBrowserWindow DCOM オブジェクトを活用しています。現在、MMC20、Application、Shell Windows、Shell Browser Window オブジェクトをサポートしています。(出典: Hacking Articles )
WMI の基礎
名前空間
ディレクトリスタイルの階層構造で構成されており、WMI のトップレベルコンテナは \root で、その下に名前空間として組織された追加のディレクトリがあります。 名前空間をリストするコマンド:
Copy # Retrieval of Root namespaces
gwmi -namespace "root" -Class "__Namespace" | Select Name
# Enumeration of all namespaces (administrator privileges may be required)
Get-WmiObject -Class "__Namespace" -Namespace "Root" -List -Recurse 2> $null | select __Namespace | sort __Namespace
# Listing of namespaces within "root\cimv2"
Get-WmiObject -Class "__Namespace" -Namespace "root\cimv2" -List -Recurse 2> $null | select __Namespace | sort __Namespace
特定の名前空間内のクラスは、次のコマンドを使用してリストアップできます:
Copy gwmwi -List -Recurse # Defaults to "root\cimv2" if no namespace specified
gwmi -Namespace "root/microsoft" -List -Recurse
クラス
WMIクラス名(例:win32_process)とそれが存在する名前空間を知ることは、WMI操作にとって重要です。 win32
で始まるクラスをリストするコマンド:
Copy Get-WmiObject -Recurse -List -class win32* | more # Defaults to "root\cimv2"
gwmi -Namespace "root/microsoft" -List -Recurse -Class "MSFT_MpComput*"
クラスの呼び出し:
Copy # Defaults to "root/cimv2" when namespace isn't specified
Get-WmiObject -Class win32_share
Get-WmiObject -Namespace "root/microsoft/windows/defender" -Class MSFT_MpComputerStatus
メソッド
メソッドは、WMIクラスの1つ以上の実行可能な関数です。
Copy # Class loading, method listing, and execution
$c = [wmiclass] "win32_share"
$c.methods
# To create a share: $c.Create("c:\share\path","name",0,$null,"My Description")
Copy # Method listing and invocation
Invoke-WmiMethod -Class win32_share -Name Create -ArgumentList @($null, "Description", $null, "Name", $null, "c:\share\path",0)
WMI列挙
WMIサービスの状態
WMIサービスが稼働しているかどうかを確認するコマンド:
Copy # WMI service status check
Get-Service Winmgmt
# Via CMD
net start | findstr "Instrumentation"
システムおよびプロセス情報
WMIを介してシステムおよびプロセス情報を収集する:
Copy Get-WmiObject -ClassName win32_operatingsystem | select * | more
Get-WmiObject win32_process | Select Name, Processid
攻撃者にとって、WMIはシステムやドメインに関する機密データを列挙するための強力なツールです。
Copy wmic computerystem list full /format:list
wmic process list /format:list
wmic ntdomain list /format:list
wmic useraccount list /format:list
wmic group list /format:list
wmic sysaccount list /format:list
手動リモートWMIクエリ
特定の情報(例:ローカル管理者またはログオンユーザー)を取得するために、慎重なコマンド構築を行うことで、リモートWMIのクエリが可能です。
リモートマシン上でのローカル管理者のステルス識別やログオンユーザーの特定は、特定のWMIクエリを使用して達成できます。wmic
は、複数のノードでコマンドを同時に実行するために、テキストファイルから読み取ることもサポートしています。
Empireエージェントを展開するなど、WMIを介してプロセスをリモートで実行するには、以下のコマンド構造が使用され、正常な実行は「0」という戻り値で示されます。
Copy wmic /node:hostname /user:user path win32_process call create "empire launcher string here"
このプロセスは、WMIのリモート実行およびシステム列挙の機能を示し、システム管理およびペネトレーションテストの両方での有用性を強調しています。
参考文献
自動ツール
Copy SharpLateral redwmi HOSTNAME C: \\ Users \\ Administrator \\ Desktop \\ malware.exe
ゼロからヒーローまでのAWSハッキングを学ぶ htARTE(HackTricks AWS Red Team Expert) ! Last updated 3 months ago