监控白名单WMIC执行payload行为

最新推荐文章于 2023-11-13 10:24:13 发布
最新推荐文章于 2023-11-13 10:24:13 发布
阅读量713 收藏
点赞数
分类专栏: 白名单利用 ATT&CK 日志分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36334464/article/details/105762241
版权

简述

WMI(Windows Management Instrumentation)是Windows管理功能,它为本地和远程访问windows系统组件提供了统一的环境。它依赖WMI服务来进行本地和远程访问,以及SMB(服务器消息块)和RPCS(远程过程调用服务)来进行远程访问。RPCS通过端口135运行。

攻击者可能会使用WMI与本地和远程系统交互,也可能使用WMI来将执行许多策略功能,例如为发现收集信息和远程执行文件来横向移动。

测试

WMIC扩展WMI(Windows Management Instrumentation,Windows管理工具),提供了从命令行接口和批命令脚本执行系统管理的支持。在WMIC出现之前,如果要管理WMI系统,必须使用一些专门的WMI应用,例如SMS,或者使用WMI的脚本编程API,或者使用象CIM Studio之类的工具。如果不熟悉C++之类的编程语言或VBScript之类的脚本语言,或者不掌握WMI名称空间的基本知识,要用WMI管理系统是很困难的。WMIC改变了这种情况。

说明:Wmic.exe所在路径已被系统添加PATH环境变量中,因此,Wmic命令可识别,需注意x86,x64位的Wmic调用。

Windows 2003 默认位置:

C:\WINDOWS\system32\wbem\wmic.exe
C:\WINDOWS\SysWOW64\wbem\wmic.exe

Windows 7 默认位置:

C:\Windows\System32\wbem\WMIC.exe
C:\Windows\SysWOW64\wbem\WMIC.exe

补充说明:在高版本操作系统中,可以通过配置策略,对进程命令行参数进行记录。日志策略开启方法:本地计算机策略>计算机配置>管理模板>系统>审核进程创建>在过程创建事件中加入命令行>启用,同样也可以在不同版本操作系统中部署sysmon,通过sysmon日志进行监控。

分析日志源

windows 安全日志(需要自行配置)

测试复现

环境准备

攻击机:Kali2019

靶机:win7

最低0.47元/天 解锁文章
12306Br0
关注
专栏目录
内网渗透-内网环境下的横向移动总结
lza20001103的博客
08-19 1489
内网环境下的横向移动总结
WMI工具,清理WMI执行文件
04-01
使用此工具可查出PROEWESHELL进程,处理此类自动执行软件,杀毒很好用,最近病毒太厉害了
对亮神基于白名单Wmic 执行 payload 第十季复现
cxk
05-03 462
0x01 Wmic简介: WMIC扩展WMI(Windows Management Instrumentation,Windows管理工具),提供了从命令行接口和批命令脚本执行系统管理的支持。在WMIC出现之前,如果要管理WMI系统,必须使用一些专门的WMI应用,例如SMS,或者使用WMI的脚本编程API,或者使用象CIM Studio之类的工具。如果不熟悉C++之类的编程语言或VBScript之...
监控白名单Installutil.exe执行payload行为
12306小哥
04-13 669
简介 命令行实用程序InstallUtil可用于通过执行.NET二进制文件中指定的特定安装程序组件来安装和卸载资源。 InstallUtil位于Windows系统上的.NET目录中: C:\Windows\Microsoft.NET\Framework\v\InstallUtil.exe C:\Windows\Microsoft.NET\Framework64\v\InstallUtil.exe ...
WMIC 全新的超级命令行管理工具
张彤的专栏
08-05 884
  微软Windows Server的图形界面接口在为网络管理提供便利的同时,因其消耗资源偏大、操作缓慢而颇受Windows管理员的微词,为提供一个图形管理界面之外的另一种选择,微软推出了集WMI的强大与命令行的简洁于一身的全新的命令行管理工具WMIC。加入了WMIC的Windows server 2003的命令行,据称可以完成几乎所有的管理任务。  以DOS起家的微软,最终靠图形界面一统了天
Windows命令--wmic
IT利刃出鞘的博客
01-17 3459
其他网址 windows比cmd更强大的 WMIC命令使用详解_第七宇林的博客-CSDN博客_wmic命令 什么是wmic ? WMIC是扩展WMI(Windows Management Instrumentation,Windows管理规范),提供了从命令行接口和批命令脚本执行系统管理的支持。在WMIC出现之前,如果要管理WMI系统,必须使用一些专门的WMI应用,比如SMS,或者使用WMI的脚本编程API,或者使用象CIM Studio之类的工具。如果不熟悉C++之类的编程语言...
第八十课:基于白名单Wmic执行payload第十季.docx
09-15
### 基于白名单Wmic执行payload第十季 #### Wmic简介 WMIC(Windows Management Instrumentation Command-line)是Windows系统内置的一个强大的命令行工具,用于管理和监控Windows系统的各个方面。它通过提供一种...
53.远控免杀专题(53)-白名单WMIC.exe执行payload1
08-03
远控免杀专题(53)-白名单WMIC.exe执行payload1】 在网络安全领域,免杀技术是攻击者为了绕过反病毒软件的检测而采取的一种策略。本文将详细介绍如何利用白名单程序WMIC.exe来执行payload,从而实现远程控制的免杀...
红队系列-shellcode AV bypass Evasion免杀合集
最新发布
aming小老弟
11-13 1529
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码绕过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
wmic
weixin_34126557的博客
01-29 331
wmic.exe是WMI 命令行。作为 Windows XP 的一部分发布的 WMI 命令行工具 (wmic.exe) 提供一个到 WMI 基础结构的命令行接口。可以使用 wmic.exe 执行来自命令行的常见 WMI 任务,包括浏览 CIM 和检查 CIM 类定义。有关使用 WMI 命令行工具的信息,参阅 Windows XP 帮助和支持中心内的“使用 WMI 命令行 (WMIC) 工具”  ...
渗透测试-基于白名单执行payload--Pcalua
weixin_30662109的博客
05-03 550
0x01 Pcalua简介 Windows进程兼容性助理(Program Compatibility Assistant)的一个组件。 说明:Pcalua.exe所在路径已被系统添加PATH环境变量中,因此,Pcalua命令可识别 Windows 7 默认位置: C:\Windows\System32\pcalua.exe 0x02 复现 攻...
WMI实现远程监控多台windows服务器
weixin_33869377的博客
06-06 827
2019独角兽企业重金招聘Python工程师标准>>> ...
WMI 定时启动木马
zzz3265的专栏
01-04 6345
现象: 某些浏览器的快捷方式经常性自动被修改, 相当于主页修改成 hao916.com/..... 使用WMI_Tools 工具 找到以下类 __EventFilter ActiveScriptEventConsumer __FilterToConsumerBinding __TimerInstruction 删除里面相关的实例 木马脚本如下 On Error
解决pm2执行时定期弹窗wmic.exe问题
薛定喵君的博客
05-18 3566
记一下C:\Windows\System32\Wbem\wmic.exe不定时弹窗的问题 Windows系统总是弹出这个程序窗口,so boring.. 本地node版本 # 解决办法: 执行环境更新 更新 NodeJS 版本 > 8.8.0 可以选择从官网下载版本安装,安装前如果有项目在运行需要先执行pm2 kill把进程停掉,不然会影响安装 更新 pm2 到最新版本 npm instal...
[译]windows提权基本法则
iteye_16188的博客
09-18 540
原文地址:http://fuzzysecurity.com/tutorials/16.html 注意我将会使用各种版本的Windows来强调命令行可能存在的差异。记住不同的OS/SP差异可能导致命令格式不存在或者产生轻微不同的输出。我尝试把本文组织成各个版本的Windows通用的提权方法。 (一)信息收集 1)获取操作系统版本 [color=red]C:\Windows\syste...
渗透测试入门7之权限维持
鹿鸣天涯
04-03 1299
渗透测试入门7之权限维持 系统后门 Windows 1、密码记录工具 WinlogonHack WinlogonHack 是一款用来劫取远程3389登录密码的工具,在 WinlogonHack 之前有 一个 Gina 木马主要用来截取 Windows 2000下的密码,WinlogonHack 主要用于截 取 Windows XP 以及 Windows 2003 Server。 键盘记录器...
任意文件读取漏洞常用payload合集
weixin_30920853的博客
08-15 1003
直接整理到github上了,https://github.com/tdifg/payloads 其他payload以后不定期更新 转载于:https://www.cnblogs.com/yuris115/p/5774013.html
使用WIN系统自带wmi测试工具查询杀毒软件信息
nui111的专栏
03-03 4954
1.在“运行”中,输入“wbemtest.exe”  2.单击“连接”,在输入框中输入ROOT\\SecurityCenter2 3.点击“枚举类别”,选择“递归” 4.点击“查询”,在输入框中输入要测试的WQL语句:SELECT * FROM AntiVirusProduct
Tide安全团队分享:wmic.exe免杀实战与白名单策略
远控免杀专题——白名单WMIC.exe执行payload1" 是由CSeroad@Tide安全团队撰写的一篇文章,该团队专注于网络安全、Web安全、物联网及安全开发等多个领域的研究和分享。文章的核心内容是探讨如何通过利用Windows ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值