WmicExec
Nasıl Çalıştığı Açıklaması
Kullanıcı adı ve ya şifre veya hash bilinen ana bilgisayarlarda WMI kullanılarak işlemler açılabilir. Wmiexec tarafından WMI kullanılarak komutlar yürütülür ve yarı etkileşimli bir kabuk deneyimi sağlanır.
dcomexec.py: Farklı DCOM uç noktalarını kullanarak, bu betik wmiexec.py'ye benzer yarı etkileşimli bir kabuk sunar, özellikle ShellBrowserWindow DCOM nesnesini kullanır. Şu anda MMC20'yi destekler. Uygulama, Shell Windows ve Shell Browser Window nesneleri. (kaynak: Hacking Articles)
WMI Temelleri
Ad Alanı
Dizin tarzında bir hiyerarşiye sahip olan WMI'nın en üst düzey konteyneri \root'dur, altında ad alanları olarak düzenlenen ek dizinler bulunur. Ad alanlarını listelemek için komutlar:
Bir namespace içindeki sınıflar şu şekilde listelenebilir:
Sınıflar
Bir WMI sınıf adını, örneğin win32_process, ve bulunduğu ad alanını bilmek herhangi bir WMI işlemi için hayati öneme sahiptir. win32
ile başlayan sınıfları listelemek için komutlar:
Sınıfın çağrılması:
Yöntemler
Yöntemler, WMI sınıflarının bir veya daha fazla yürütülebilir işlevini temsil eder ve çalıştırılabilir.
WMI Numaralandırma
WMI Servisi Durumu
WMI servisinin çalışır durumda olup olmadığını doğrulamak için kullanılan komutlar:
Sistem ve İşlem Bilgileri
WMI aracılığıyla sistem ve işlem bilgilerini toplama:
Saldırganlar için, WMI sistemler veya alanlar hakkında hassas verileri sıralamak için güçlü bir araçtır.
Elle Uzaktan WMI Sorgulama
Uzaktan belirli bilgilere, örneğin yerel yöneticilere veya oturum açmış kullanıcılara WMI üzerinden sorgu yapmak, dikkatli komut oluşturma ile mümkündür.
Uzaktan bir makinedeki yerel yöneticileri gizlice tanımlamak ve oturum açmış kullanıcıları belirlemek belirli WMI sorguları aracılığıyla gerçekleştirilebilir. wmic
, ayrıca birden fazla düğümde komutları aynı anda yürütmek için bir metin dosyasından okumayı da destekler.
WMI üzerinden bir işlemi, örneğin bir Empire ajanı dağıtmayı uzaktan yürütmek için aşağıdaki komut yapısı kullanılır ve başarılı yürütme "0" dönüş değeri ile gösterilir:
Bu süreç, WMI'ın uzaktan yürütme ve sistem numaralandırma yeteneklerini göstererek, hem sistem yönetimi hem de penetrasyon testi için kullanışlılığını vurgular.
Referanslar
Otomatik Araçlar
Last updated