WMI ——重写版

最新推荐文章于 2024-08-12 08:49:03 发布
最新推荐文章于 2024-08-12 08:49:03 发布
阅读量993 收藏 3
点赞数
文章标签: 数据库 python java 大数据 编程语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuteer_xu/article/details/107925650
版权
本文是关于Windows Management Instrumentation (WMI) 的深入解析,介绍了WMI的历史、概念、交互方式、WQL查询语言、远程协议以及安全方面的考虑。WMI是Windows系统中的管理数据和操作基础设施,通过CIM模型表示系统、应用等管理对象。与WMI交互的工具包括Powershell、wmic.exe等,而WQL是其查询语言的子集。远程WMI协议使用DCOM和WinRM,其中WinRM基于WS-Management协议。文章还探讨了WMI在攻击防御和缓解措施中的角色,以及如何利用WMI进行持久化、命令执行和数据存储。
摘要由CSDN通过智能技术生成

本文作者:伍默(内网知识星球学员)

本文是以WMI的重写版,本来这份笔记会更长,原版的笔记以Black Hat 2015的Abusing Windows Management Instrumentation (WMI) to Build a Persistent, Asyncronous, and Fileless Backdoor为主要学习资料,在笔记写到大概一万字的时候,Typora 中保存的内容部分丢失。于是重新整理,有了这份,我认为精简版的WMI笔记。

WMI 背景

WMI 是什么?Windows管理规范(WMI)是Microsoft对基于Web的业务管理标准(WBEM),公共信息模型(CIM)和分布式管理任务组(DMTF)的实现。

换句话说:Microsoft + CIM + WBEM +DMTF = WMI

打开MSDN 中关于WMI的描述是这样:

  • Windows Management Instrumentation (WMI) is the infrastructure for management data and operations on Windows-based operating systems。

    Windows管理工具(WMI)是基于Windows操作系统的管理数据和操作的基础设施。

快速的过一下这部分内容的重点:

  • WMI实际上的历史非常久远,最早在Windows 2000中内置,后面所有的Windows 系统中都内置了该项服务。

  • WMI使用公共信息模型 (CIM) 表示托管组件,其中包括系统、应用程序、网络等等

  • CIM中使用 “Class"(类)表示管理对象,类的实例是“Object”,名称空间(Namespace)是一个类的集合。类包含属性(Property)和方法(Method)。

  • WMI支持Schema的概念。Schema 是描述特定管理环境的一组类。Microsoft Windows SDK 中使用了两个 Schema : CIM Schema 和 Win 32 Schema 。CIM Schema Class 使用 "CIM_" 开头,Win32 Schema Class 使用 "Win32_" 开头。

和WMI交互

在开始WMI之前,我建议 WmiExplorer 查看 自己机器上的Namespaces、Class、Property、Method等等,对我说的概念有一个简单的了解,复杂你可能会看着很懵。

为了验证上面我描述的一些内容,我建议WmiExplorer进行查看:

可以注意到前面描述中的Namespace、Class、Properties、Methods……。

实际上和WMI交互有多种方法:

  • Powershell

  • wmic.exe

  • wbemtest.exe

  • winrm.exe and winrm.vbs

  • WMI Explorer

    • WMI Explorer 2.0.0.2

    • WMI Explorer

    • WMI Tools

    • CIM Explorer 2020(收费,但是非常强大,对类进行了中文说明,VBscript、powershell 代码简洁,推荐)

  • Windows Script Host Languages(VBScript – JScript)

  • IWbem* COM API

  • .NET System.Management classes

  • Linux:wmic and wmis

另外两个小工具:

  • WMI Code Creator

    这是微软官方出的一款代码生成器,可生成C#、VB .net 、VB Script代码

  • WMIGen

    可生成各种变成语言,调用WMI

除了”IWbem* COM API“和”.NET System.Management classes“没有试过,其余的工具均有测试,推荐使用WMI Explorer ,GUI界面非常好用。

WMI Query Language (WQL)

参考:

Querying with WQL

(https://docs.microsoft.com/en-us/windows/win32/wmisdk/querying-with-wql)

WQL (SQL for WMI)

(https://docs.microsoft.com/en-us/windows/win32/wmisdk/wql-sql-for-wmi)

WMI 查询语言(WQL)是ANSI SQL 的子集,WQL支持以下的查询:

  • Data queries

    SELECT [Class property name|*] FROM [CLASS NAME] <WHERE [CONSTRAINT]>

  • Event queries

    SELECT [Class property name|*] FROM [INTRINSIC CLASS NAME] WITHIN [POLLINGINTERVAL] <WHERE [CONSTRAINT]>

  • Schema queries

    SELECT [Class property name|*] FROM [Meta_Class<WHERE [CONSTRAINT]>

详细的语法请参考文档,这里不做过多介绍,用的最多的是 data queries ,请在实际查询中使用,需要明确的是WQL仅能查询,无法使用 Methods 进行增删改等操作。

Remote WMI Protocols

WMI 可以使用两种协议用于Remote WMI:分布式组件对象模型 (DCOM) 和 Windows 远程管理 (WinRM)。

DCOM

  • Microsoft 在TCP 135 端口和一系列的动态端口(不同版本不一样) 运行DCE RPC end-point mapper为它的DCOM服务

  • 端口可通过注册表项

    HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\Internet\中

    的Ports设置

  • 可通过DCOMCNFG.exe 配置

  • 对防火墙不友好(使用 TCP 135和一系列动态端口 1024 到 65535)

  • 默认情况下 Wmi Service ——Winmgmt 在135端口下运行和监听

WinRM/PowerShell Remoting

参考:

About Windows Remote Management(https://docs.microsoft.com/en-us/windows/win32/winrm/about-windows-remote-management)

  • 实验之前,请务必阅读一遍官方官方文档,哪怕是草草看过。

介绍Windows Remote Management(Winrm)之前,先了解WS-Management ,Ws-Man 协议是基于SOAP协议的DMTF开放标准,WinRM则是对WS-Man协议的 Windows 实现。

  • DMTF是不是感觉有点耳熟?前面说WMI背景中就提到过。

  • 默认情况下,从Windows Vista开始成为Windows 的默认组件,从Windows Server 2008 开始, WinRM服务自动启动

  • 默认情况下,未配置WinRM侦听器,即使WinRM服务在运行,无法接受和请求WS-Man 协议消息

  • Ws-Man 流量是加密的,不论HTTP 或HTTPS

  • 默认配置侦听端口是:HTTP(5985)和HTTPS(5986)

    • 注意,这里的默认配置指定是 Winrm quickconfig 之后。

需要明确的是两种协议均支持NTLM or Kerberos,也就是说,Pass The Hash和Pass The Ticket对 Wmi 和WinRM均适用

Powershell-DCOM

从Powershell v3 及后续版本,Powershell 中提供了两种 Cmdlets:

  • CIM Cmdlets

  • WMI Cmdlets

  • 前面我提到过namespace,如果不显式指定,默认namespace 为 root\CIMv2

CIM cmdlets 和WMI Cmdlets 差异在于 CIM Cmdlets 使用WSMAN(WinRM)连接远程计算机,WMI Cmdlets 是所有的是DCOM 连接远程计算机。

  • 如果CIM Cmdlets 使用DCOM 无法建立会话,可以使用 -Protocol 参数退回到DCOM

#WMI Cmdlets
$Username ="0day\Administrator"
$Password = ConvertTo-SecureString "Admin!@#45" -AsPlainText -Force
$Credential = New-Object System.Management.Automation.PSCredential
$Username,$Password
#为了避免凭据提示弹框
Get-WmiObject -ComputerName OWA2010SP3 -Credential $Credential -Class
Win32_Process |Select-Object Name,ProcessId
#这里枚举了下进程
#另外支持WQL查询
Get-WmiObject -Query "select * from Win32_Process" |Select-Object Name,ProcessID
#该命令和上面的效果相同
Powershel-WinRM
#CIM cmdlets
$Username ="0day\Administrator"
$Password = ConvertTo-SecureString "Admin!@#45" -AsPlainText -Force
$Credential = New-Object System.Management.Automation.PSCredential
$Username,$Password
$CimSessionOption = New-CimSessionOption -Protocol Dcom
$CimSession = New-CimSession -computerName OWA2010SP3 -Credential $Credential -SessionOption $CimSessionOption

最低0.47元/天 解锁文章
Ms08067安全实验室
关注
Android代码检查——Coverity日志分析(十六)
小旭的专栏
07-17 1382
Coverity是一款静态代码分析工具,旨在帮助发现和修复软件代码中的缺陷和安全漏洞。它通过在源代码级别进行分析,帮助开发人员和团队在早期阶段发现潜在问题,并提供修复建议。Coverity能够扫描各种编程语言的代码,如C、C++、Java、C#等,并提供广泛的检查项来识别代码中的各种问题,包括但不限于内存泄漏、空指针引用、资源无效使用、并发性问题等等。Coverity的分析过程通常可以集成到持续集成(CI)系统中,以便在每次代码提交或构建时运行分析。
notepad 记事本 calc 计算器等命令行常用命令
一个新生的博客
10-09 4636
命令行中,有几个可以直接在win+R中输入 notepad 记事本 calc 计算器 echo china 会显示china 在VS中可用如下代码#include <stdlib.h> //system 需要调用stdlib.hvoid main() { system("ipconfig"); //system中的内容就相当于命令行中打字一样 system("pause")
VBS获取主板信息
12-06
VBS获取主板信息。 Set objWMIServiCe = GetObjeCt("winmgmts://./root/Cimv2")
点击脚本,远程执行文件!
天灵狐的小岛
01-07 791
我终于做到了T-T 执行远程脚本, 这一刻,我花了半年...... 德玛西亚! 大致思路: $passwd = "Demacia!!!!" $sePasswd = ConvertTo-SecureString $passwd -AsPlainText -Force $cred=New-Object System.Management.Automation.PSCredential("adm
WMI Explorer 使用教程
最新发布
gitblog_00156的博客
08-12 407
WMI Explorer 使用教程 wmie2项目地址:https://gitcode.com/gh_mirrors/wm/wmie2 项目介绍 WMI Explorerwmie2)是一个旨在提供浏览和查看WMI命名空间、类、实例和属性的实用工具。它受到基于PowerShell的WMI Explorer启发,旨在结合现有WMI Explorer的功能,使其更易于快速查找所需信息。该项目特别适用...
powershell远程管理linux,Powershell 之管理Linux服务器
weixin_39805087的博客
05-08 307
PS本身是基于.NET框架的脚本开发工具,要想直接在Linux上运行,那几乎是不可能的。了解Ansible的同学应该都知道其原理,PS也一样可以实现其相同的功能,要想完全拷贝,还是要下一番功夫的,这里呢只是简单介绍通过PS远程连接到Linux服务器。PS要连接Linux服务器,我们需要先下载SSH模块,请下载附件,成功下载后请将其进行注册(直接放到C:\Windows\System32\Wind...
Exchange 2013使用PowerShell命令显示凭据
weixin_33895516的博客
02-03 295
当你在运行命令时, 有几个PowerShell和Exchange PowerShell命令能够提供一些凭据参数,允许你使用替代组凭据.当你使用手动远程Shell连接,发送邮件,以及工作在cross-forest中.在这一节,我们将学习下如何创建一个凭据对象,可以使用支持凭据参数的命令-credential凭据工作原理你可以使用Get-Credential命令去创建一个凭据.在...
PowerShell 如何以安全的方式使用密码,运行需要管理员权限的软件
一直被模仿,从未被超越
02-13 851
3、把 aes.key 跟 pwd.txt 拷到要运行的客户机上面。1、创建 AES,保存D盘下面。
渗透测试入门7之权限维持
鹿鸣天涯
04-03 1287
渗透测试入门7之权限维持 系统后门 Windows 1、密码记录工具 WinlogonHack WinlogonHack 是一款用来劫取远程3389登录密码的工具,在 WinlogonHack 之前有 一个 Gina 木马主要用来截取 Windows 2000下的密码,WinlogonHack 主要用于截 取 Windows XP 以及 Windows 2003 Server。 键盘记录器...
C#判断是否插入了U盘,插入后打开某款软件(装逼)
08-03
在本文中,我们将深入探讨如何使用C#编程语言来实现一个功能,即检测U盘是否已插入,并在检测到插入U盘时自动启动特定的软件——《eDEX-UI-Windows》。首先,我们需要理解C#的基础知识,然后讨论如何与硬件交互,...
WMI Explorer v2.0.0.zip
07-17
WMI Explorer是一款非常好并且很实用的网络检测软件,简单小巧。WMI资源浏览器可以查看WMI信息,WMI软件开发的好助手WMI是Windows管理规范的英文缩写。 WMI Explorer功能介绍 查看WMI管理类的全套,对象和它们的属性。 浏览远程机器上的对象和设置。 执行任何WQL查询和视图的结果集。 WMI Explorer截图
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 5552
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
powershell脚本实现计算机加入域
黑兔子JH的博客
07-23 6178
Function Set-Domain { param ( [Parameter(Mandatory = $true, Position = 0)] [string] $DNS, [Parameter(Mandatory = $true, Position = 1)] [string] $Domain, [Parameter(...
注册表的修改
马赛克的专栏
12-27 3256
<br />三十、安全设置<br />1.关闭135端口<br />Windows Registry Editor Version 5.00<br />[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Rpc]<br />"DCOM Protocols"=hex(7):6e,00,63,00,61,00,63,00,6e,00,5f,00,73,00,70,00,78,00,/<br />00,00,6e,00,63,00,61,00,63,00,6e,00,5f,00,6e,0
powershell访问linux服务器,Powershell 之管理Linux服务器
weixin_42511587的博客
04-29 793
PS要连接Linux服务器,需要使用相应的SSH模块,这里使用posh-ssh来实现下文中要实现的功能,请下载附件并将其进行注册(直接放到C:\Windows\System32\WindowsPowerShell\v1.0\Modules),再通过命令验证是否成功import-modelposh-sshposh-ssh模块支持很多功能,这里只写两个,一个是SSH Command,一个是SSH ...
自动创建数据库镜像,证书交换
dida4700的博客
03-16 138
自动创建数据库镜像,证书交换 脚本有2个部分,1.证书交换,2.配置镜像 只实现了简答的功能,比如镜像证书配置的检查,容错目前都还没有做 1.证书交换 $SourceServer='192.168.5.7' $SourcePath='d:\SQL Bac...
WMI编程(WQL语句记录)
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
11-26 1303
#include #include #include #include #pragma comment(lib,"wbemuuid.lib") using namespace std; static IWbemLocator *pLoc = NULL; static IWbemServices *pSvc = NULL; static IEnumWbemCl
windows wmi获取bios
06-10
你可以使用 Windows Management Instrumentation (WMI) 来获取 BIOS 本。WMI 提供了许多可用于获取系统信息的类,其中一个是 Win32_BIOS 类,它提供了有关计算机上安装的 BIOS 的详细信息,包括 BIOS 本。 以下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值