0x01 背景
内网渗透中经常用到psexec这个工具,可以很方便的得到一个半交互式的cmd shell。
但是psexec也有一些问题:psexec需要对方开启ADMIN$共享,而且需要安装服务;另外,psexec退出时有可能服务删除失败,这个情况只是偶尔,但是我碰到过。
安装服务会留下明显的日志,而且服务没有删除的风险更大,管理员很容易就会发现。
WMI可以远程执行命令,所以我就想用VBS脚本调用WMI来模拟psexec的功能,于是乎WMIEXEC就诞生了。基本上psexec能用的地方,这个脚本也能够使用。
0x02 WMIEXEC功能
WMIEXEC支持两种模式,一种是半交互式shell模式,另一种是执行单条命令模式。
WMIEXEC需要提供账号密码进行远程连接,但是如果没有破解出账号密码,也可以配合WCE的hash注入功能一起使用,先进行hash注入,然后再使用WMIEXEC即可。
半交互式shell模式
提供账号密码,执行如下命令:
cscript.exe //nologo wmiexec.vbs /shell 192.168.1.1 username password