横向移动检测之远程执行(四)WMI/WMIC

最新推荐文章于 2024-06-11 11:23:00 发布
最新推荐文章于 2024-06-11 11:23:00 发布
阅读量4.6k 收藏 12
点赞数 3
分类专栏: Threat Hunting
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27828281/article/details/103527849
版权
本文介绍了攻击者如何利用WMI/WMIC进行横向移动,包括介绍、源(事件日志、注册表、文件系统)和目的(事件日志、注册表、文件系统)的分析。通过检查winrm服务、事件日志、注册表项和文件系统痕迹,可以检测到wmic的远程执行行为。
摘要由CSDN通过智能技术生成

横向移动检测之远程执行—WMI/WMIC

1.1 介绍

 在横向移动过程,攻击者可能会利用WMI(Windows Management Instrumentation)提供的功能,通过远程执行命令进行横向移动。在Windows平台,在客户端通常使用wmic执行命令,服务端会使用wmiprvse.exe来创建客户端请求的进程,wmic命令的基本格式如下:

CMD:wmic /node:host process call create “evil.exe”
Powershell:Invoke-WmiMethod –Computer host –Class Win32_Process –Name create -Argument “c:\temp\evil.exe” # 默认使用当前用户的凭证

 通过对源和目的主机的事件日志,注册表,文件系统进行分析,可以获得源主机运行程序wmic的时间,运行次数等信息,从目的主机可以获得客户端的源IP,可执行文件wmiprvse.exe及上传的恶意文件的执行时间等信息。

首先需要对winrm服务进行配置:
检查winrm服务是否启动:
get-service winrm
在这里插入图片描述
如果没启动,则启动服务:
在这里插入图片描述
对于win7,只需启动服务即可,无需后续操作:
在这里插入图片描述
为远程主机添加访问权限:
winrm s winrm/config/client '@{TrustedHosts="REMOTECOMPUTERNAME/IP"}'
在这里插入图片描述
检查winrm服务:
在这里插入图片描述
设置防火墙规则:
Win+R->secpol.msc
在这里插入图片描述
在这里插入图片描述
创建一个远程进程进行测试:
wmic /node:192.168.49.145 /user joker /password:123456 process call create "notepad.exe"
在这里插入图片描述
如下图,成功远程创建进程:
在这里插入图片描述
环境
使用wimc,在192.168.49.155上远程在目标主机192.168.49.144创建进程。

    最低0.47元/天 解锁文章
    h8x0r
    关注
    • 3
      点赞
    • 12
      收藏
      觉得还不错? 一键收藏
    • 1
      评论
    专栏目录
    网络中检测远程WMI应用
    oneVs1的专栏
    06-20 2206
    Windows 管理规范(Windows Management Instrumentation)是一项核心的 Windows 管理技术,用户可以使用 WMI 管理本地和远程计算机。参见这里了解更多WMI知识:http://www.cnblogs.com/haiq/archive/2011/01/14/1935377.html 通常乐意使用WMI的有两种人:IT管理员和黑客。作为入侵检测产品有必要
    【C#学习之路】WMI进程操作实现程序远程更新
    qq_25199617的博客
    03-19 835
    本博客旨在记录学习或开发中遇到的一些问题。最近需要实现上位机局域网内,在本地和远程实现软件的更新,实际上就是实现本地和远程的文件、进程操作。文件操作好说,直接File.Copy()就好,本地进程操作使用Process()即可实现,主要是远程进程操作我多方查阅后使用WMI实现。提示:以下是本篇文章正文内容,下面案例可供参考希望会对你有所帮助。完整的程序是用WPF的MVVM模式实现的,也是我正在学习部分,完整代码有需自取(转到github。
    Windows安全基础——Windows WMI详解
    最新发布
    Innocence_0的博客
    06-11 426
    WMI(Windows Management Instrumentation, Windows管理规范)是Windows2000/XP管理系统的核心,属于管理数据和操作的基础模块。设计WMI的初衷是达到一种通用性,通过WMI操作系统、应用程序等来管理本地或者远程资源。它支持分布式组件对象模型(DCOM,DistributionModel)和Windows远程管理(WinRM),用户可通过WMI服务访问、配置、管理和监视Windows所有资源的功能。
    什么是WMI
    12-19 1545
     什么是WMI WMI。中文名字叫Windows管理规范。从Windows 2000开始,WMI(Windows 管理规范)就内置于操作系统中,并且成为了Windows系统管理的重要组成部分。所以大家很容易就能见到它的,因为我们至少也应该是个Windows 2000的使用者了。下面我将详细介绍它的每个细节,让你从不认识它到喜欢上它。 WMI能做什么? WMI不仅可以获取想要的计算机数据,而
    Windows开启WMI时一些总结
    weixin_30567225的博客
    02-09 2587
      通过远程的方式连接WMI获取计算机信息时,可能会出现远程主机拒绝访问,这时就要通过下面的方式来开启当前计算机的WMI服务,下面以Win7和Win10为例来进行相关的说明,通过一步步排查去连接远程服务。 一 在本机测试是否可以连接远程主机WMI服务   1 按下Windows+R组合键,调用系统运行窗口。   2 输入wbemtest命令。 图1 调用WMI测试器   3 打开W...
    windows开启远程Wmi服务支持
    墨鱼菜鸡
    09-09 508
    wmi不仅支持本地也同样支持远程,这里介绍一下怎么快速的让当前操作系统开启远程服务。 首先这里以windwos7为例,有的朋友说,开启远程wmi没有,我说这个东西有用,他说没有用,我说小伙子还是太年轻了。这里需要当前用户是管理员权限的,当然默认的登陆用户都是管理员的,但是存在着像我一样的懒人,不给虚拟机的windows设置密码,这样是不行的,需要给当然...
    剑走偏锋--使用WMI获取远程计算机进程程序集中查毒病毒打造内网安全环境
    04-09 1090
    剑走偏锋-使用WMI获取远程计算机进程程序 集中查毒病毒打造内网安全环境 作者:高玉涵 时间:2019.04.1815:45 博客:blog.csdn.net/cg_i 作者背景环境参见: 《由永恒之蓝病毒引发的运维安全思考——网络边界防御篇 》 《非常运维 一体化终端安全管理系统自动安装脚本详解》 TMOTWTDI-- Perl名言 真正见功夫的地方不在于代码本...
    wmi.zip_visual c_wmi_wmic 网卡信息_硬盘 信息_网卡信息
    09-23
    在IT领域,Windows Management Instrumentation(WMI)是微软提供的一种强大的系统管理工具,它允许开发者和管理员通过标准的接口来获取和操作Windows操作系统及硬件设备的各种信息。Visual C++,作为微软的C++开发...
    第一百零八课:跨平台横向移动 [wmi利用]1
    08-03
    这种结合使得攻击者可以通过Powershell脚本来实现更复杂的横向移动,包括下载远程payload、执行命令等。 【外部WMI工具】 除了WMIC,还有许多第三方工具可以简化WMI的利用,如Cobalt Strike和Metasploit Framework...
    C#检测移动硬盘并获取移动硬盘盘符的方法
    08-28
    C#检测移动硬盘并获取...C#检测移动硬盘并获取移动硬盘盘符的方法是使用C#编程语言来访问WMI,获取硬盘的信息,并通过相关的类和方法来获取移动硬盘的信息。这个方法可以广泛应用于文件管理、数据备份、云存储等领域。
    wmi4j 远程执行cmd命令获取命令执行的结果
    06-04
    使用wmi4j 连接远程主机获取进程列表,创建文件夹、共享文件夹、执行netstat -ano输出到aa.txt文件,读取文件、撤销文件夹共享、删除文件夹及aa.txt文件;即实现远程执行cmd命令获取命令执行的结果的效果。
    WMI远程操作调用代码
    03-22
    WMI 远程 操作 注册表 远程执行CMd
    利用WMI实现系统补丁检测分析
    09-06
    WMI系统补丁检测分析 WMI(Windows Management Instrumentation)是一种系统管理架构,提供了一个统一的、基于标准的、可扩展的面向对象接口。它以CIMOM(Common Information Model Object Manager)为基础,提供了...
    远程调用WMI安装软件
    weixin_34075551的博客
    11-04 574
     Invoke-WMIMethod  -ComputerName $ip -Credential $cred -path Win32_product -Name Install -ArgumentList @($true,$null,"D:\temp\install.msi") 
    WMI的使用
    weixin_45007073的博客
    08-01 2806
    WMI介绍基本命令 介绍 WMI的全名为"Windows Management Instrumentation"。从win8后,Windows操作系统都支持WMIWMI可以在本地或者远程管理计算机系统。 自从PsExec在内网中被严格监控后,越来越多的反病毒厂商将PsExec加入了黑名单,于是乎攻击者转向使用WMI进行横向移动。在渗透时发现,在使用wmiexec进行横向移动时,Windows操作系统默认不会将WMI的操作记录在日志中。因为这个过程不会记录日志,所以对蓝队来说大大增加了溯源的成本。对攻击者来
    使用WMI来连接远端计算机
    灰太狼的博客
    09-09 5411
    1. wmi连接前提利用wmi来连接远端计算机首先要具有远端计算机管理员的用户名和密码。如果计算机在域中的话,要有域管理员用户名和密码,或者是把域帐户加入本机管理员组中也可以。2. 相关类的用法--- ConnectionOptions和ManagementScopeConnectionOptions用于设置连接选项,比如设置所连接机器的域,用户名,密码等。ManagementScop
    WMI远程访问问题解决方法
    weixin_34288121的博客
    01-21 377
    WMI 全称为:Microsoft Windows Management Instrumentation (WMI)按微软的介绍大致如下: WMI 是 Microsoft 主要的针对 Windows 的管理支持技术。在 WMI 之前,所有的 Windows 图形化管理工具都依赖于 Win32 应用程序编程接口(Application ProgrammingInterfaces,APIs...
    横向远程命令执行——WMIC
    SheXinK’s Blog
    12-28 4955
    横向命令执行——WMI1、 测试环境   WMI是一项核心的Windows管理技术,WMI作为一种规范和基础结构,通过它可以访问、配置、管理和监视几乎所有的Windows资源,比如用户可以在远程计算机器上启动一个进程;设定一个在特定日期和时间运行的进程;远程启动计算机;等等。WMI在Windows操作系统默认安装且开放服务端口135,而且执行过程在内存中进行,不会留下任何痕迹。 1、 测试环境  ...
    wmic wmi 什么关系
    06-09
    WMIC(Windows Management Instrumentation Command-line)是一种命令行实用程序,允许用户通过命令行界面访问和查询 Windows Management Instrumentation(WMI)信息。WMI是一种微软的系统管理技术,它可以提供有关计算机系统硬件、软件和操作系统的详细信息。WMIC是一种用于访问和操作 WMI 的工具,它可以通过执行 WMI 查询来获取系统信息,并且可以使用 WMI 提供的方法来执行一些管理任务。因此,WMICWMI是密切相关的。
    评论 1
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包
    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值