WmicExec
Як це працює
Процеси можуть бути відкриті на хостах, де відомі ім'я користувача та або пароль, або хеш, за допомогою WMI. Команди виконуються за допомогою WMI за допомогою Wmiexec, що забезпечує напівінтерактивний досвід роботи з оболонкою.
dcomexec.py: Використовуючи різні кінцеві точки DCOM, цей скрипт пропонує напівінтерактивну оболонку, схожу на wmiexec.py, зокрема використовуючи об'єкт DCOM ShellBrowserWindow. Наразі підтримується додаток MMC20, об'єкти Shell Windows та Shell Browser Window. (джерело: Hacking Articles)
Основи WMI
Простір імен
Структурований у ієрархії стилі директорій, верхній рівень контейнера WMI - \root, під яким організовані додаткові директорії, відомі як простори імен. Команди для переліку просторів імен:
Класи в межах простору імен можна переглянути за допомогою:
Класи
Знання назви класу WMI, такого як win32_process, та простору імен, в якому він знаходиться, є важливим для будь-якої операції WMI. Команди для переліку класів, що починаються з win32
:
Виклик класу:
Методи
Методи, які є однією або кількома виконавчими функціями класів WMI, можуть бути виконані.
Перелік WMI
Статус служби WMI
Команди для перевірки роботи служби WMI:
Інформація про систему та процеси
Збір інформації про систему та процеси за допомогою WMI:
Для атакувальників WMI є потужним інструментом для переліку чутливих даних про системи або домени.
Віддалений запит WMI вручну
Прихована ідентифікація локальних адміністраторів на віддаленому комп'ютері та ввійшли користувачі може бути досягнута за допомогою конкретних запитів WMI. wmic
також підтримує читання з текстового файлу для виконання команд на кількох вузлах одночасно.
Для віддаленого виконання процесу через WMI, такого як розгортання агента Empire, використовується наступна структура команди, успішне виконання позначається значенням "0":
Цей процес ілюструє можливості WMI для віддаленого виконання та переліку систем, підкреслюючи його корисність як для адміністрування систем, так і для тестування на проникнення.
Посилання
Автоматичні Інструменти
Last updated