寫在前面的話
在這篇文章中贱傀,我們將討論如何在攻擊的后滲透利用階段使用WMIC(Windows Management InstrumentationCommand Line)掌唾。當(dāng)攻擊者在遠(yuǎn)程PC上拿到meterpreter會話之后睹晒,他們就可以枚舉大量的系統(tǒng)信息呀非,并利用WMI命令行工具來進(jìn)行更深程度的操作前联。
首先翔曲,我們會介紹如何拿到遠(yuǎn)程PC的meterpreter會話。拿到會話之后漫玄,我們還會告訴大家如何提權(quán)至管理員權(quán)限茄蚯。
WMIC命令行可以通過Windows CMD來訪問压彭,直接在meterpreter shell中輸入“shell“即可。接下來渗常,我們一起看一看WMIC命令以及相應(yīng)的工作機(jī)制壮不。
WMIC
下面這個(gè)命令可以查看WMIC命令的全局選項(xiàng),WMIC全局選項(xiàng)可以用來設(shè)置WMIC環(huán)境的各種屬性皱碘,通過結(jié)合各種全局選項(xiàng)以及參數(shù)询一,我們就可以通過WMIC環(huán)境來管理整個(gè)系統(tǒng)了。
wmic /?
獲取系統(tǒng)角色癌椿、用戶名和制造商
銅鼓WMIC命令的操作系統(tǒng)指令健蕊,我們可以枚舉出大量關(guān)于目標(biāo)系統(tǒng)的信息,包括主機(jī)名踢俄、域名缩功、制造商以及設(shè)備型號等等。
我們還可以添加下列過濾器來獲取更精準(zhǔn)的掃描結(jié)果:
Roles:它可以給我們提供目標(biāo)設(shè)備在整個(gè)網(wǎng)絡(luò)系統(tǒng)中所扮演的角色都办,例如工作站嫡锌、服務(wù)器或個(gè)人PC等等。
Manufacturer:它可以給我們提供目標(biāo)系統(tǒng)的制造商和設(shè)備型號琳钉,因?yàn)槟承┨囟ㄖ圃焐趟a(chǎn)的特定型號設(shè)備會存在特定的漏洞势木,因此我們可以利用這部分信息來尋找存在漏洞的設(shè)備。
UserName:它可以給我們返回系統(tǒng)的用戶名歌懒,我們可以利用這部分信息來區(qū)分誰是管理員誰是普通用戶啦桌。
[/format:list]:以列表格式輸出數(shù)據(jù)并排列。
wmic computersystem get Name, Domain, Manufacturer, Model, Username, Roles/format:list
獲取SID
為了枚舉出SID及皂,我們需要用到WMIC的group選項(xiàng):
wmic group get Caption, InstallDate, LocalAccount, Domain, SID, Status
如下圖所示甫男,我們已經(jīng)查找到了賬戶名、域名躲庄、本地組成員狀態(tài)查剖、SID以及相應(yīng)的狀態(tài):
創(chuàng)建一個(gè)進(jìn)程
WMIC命令的process選項(xiàng)可以幫助我們在目標(biāo)用戶的系統(tǒng)中創(chuàng)建各種進(jìn)程。這種功能可以幫助我們創(chuàng)建后門噪窘,或占用大量目標(biāo)系統(tǒng)的內(nèi)存:
wmic process call create “[Process Name]”
wmic process call create “taskmgr.exe”
你可以從下圖中看到笋庄,這個(gè)命令不僅會創(chuàng)建一個(gè)進(jìn)程,而且還會賦予相應(yīng)的進(jìn)程ID倔监,所以我們就可以根據(jù)我們的需要來修改進(jìn)程信息了直砂。
注意:如果進(jìn)程創(chuàng)建了一個(gè)類似任務(wù)管理器和CMD這樣的窗口,那么這條命令將會在目標(biāo)系統(tǒng)中打開這個(gè)窗口浩习,這樣會引起目標(biāo)用戶的懷疑静暂。
修改進(jìn)程優(yōu)先級
WMIC命令的process選項(xiàng)還可以幫我們修改目標(biāo)系統(tǒng)中運(yùn)行進(jìn)程的優(yōu)先級,這是一個(gè)非常有用的功能谱秽。降低某個(gè)進(jìn)程的優(yōu)先級可能會導(dǎo)致特定的應(yīng)用程序發(fā)生崩潰洽蛀,而提升某個(gè)進(jìn)程的優(yōu)先級甚至還會導(dǎo)致整個(gè)系統(tǒng)發(fā)生崩潰摹迷。
wmic process where name=”explorer.exe” call set priority 64
終止進(jìn)程
WMIC命令還可以幫我們終止目標(biāo)系統(tǒng)正在運(yùn)行的進(jìn)程:
wmic process where name=”explorer.exe” call terminate
獲取可執(zhí)行文件列表
下面的命令可以枚舉出整個(gè)系統(tǒng)中所有可執(zhí)行文件的路徑地址:
wmic process where “NOT ExecutablePath LIKE ‘%Windows%’” GET ExecutablePath
獲取目錄屬性
WMIC命令的fsdir選項(xiàng)可以提取目標(biāo)系統(tǒng)中文件目錄的基本信息,其中包括壓縮方法郊供、創(chuàng)建日期峡碉、文件大小、是否可讀寫驮审、是否為系統(tǒng)文件鲫寄、加密狀態(tài)以及加密類型等等:
wmic fsdir where=”drive=’c:’ and filename=’test’” get /format:list’
獲取文件屬性
WMIC命令的datafile選項(xiàng)可以獲取目標(biāo)系統(tǒng)中文件的基本信息,其中包括壓縮方法疯淫、創(chuàng)建日期地来、文件大小、是否可讀寫熙掺、是否為系統(tǒng)文件未斑、加密狀態(tài)以及加密類型等等:
wmic datafile where=’[Path of File]’ get /format:list
wmic datafile where name=’c:\\windows\\system32\\demo\\demo.txt’ get /format:list
定位系統(tǒng)文件
WMIC可以提取出所有重要系統(tǒng)文件的路徑,例如temp目錄和win目錄等等:
wmic environment get Description, VariableValue
獲取已安裝的應(yīng)用程序列表
wmic product get name
獲取正在運(yùn)行的服務(wù)列表
獲取到正在運(yùn)行的服務(wù)列表之后适掰,WMIC還可以提供服務(wù)的啟動模式颂碧,例如“自動”荠列、“手動”和“運(yùn)行中”:
wmic service where (state=”running”) get caption, name, startmode
獲取系統(tǒng)驅(qū)動詳情
sysdrive選項(xiàng)可以枚舉出驅(qū)動的名稱类浪、路徑和服務(wù)類型等數(shù)據(jù):
wmic sysdriver get Caption, Name, PathName, ServiceType, State, Status /format:list
獲取操作系統(tǒng)詳情
os選項(xiàng)可以列舉出目標(biāo)系統(tǒng)的上一次啟動時(shí)間、注冊的用戶數(shù)量肌似、處理器數(shù)量费就、物理/虛擬內(nèi)存信息和安裝的操作系統(tǒng)類型等等:
wmic os get CurrentTimeZone, FreePhysicalMemory, FreeVirtualMemory, LastBootUpdate,NumberofProcesses, NumberofUsers, Organization, RegisteredUsers, Status/format:list
獲取主板信息和BIOS序列號
wmic baseboard, get Manufacturer, Product, SerialNumber, Version
wmic bios, get serialNumber
獲取內(nèi)存緩存數(shù)據(jù)
memcache選項(xiàng)可以獲取到內(nèi)存緩存名和塊大小等信息:
wmic memcache get Name, BlockSize, Purpose, MaxCacheSize, Status
獲取內(nèi)存芯片信息
memorychip選項(xiàng)可以獲取到RAM的相關(guān)信息,例如序列號等等:
wmic memorychip get PartNumber, SerialNumber
判斷目標(biāo)系統(tǒng)是否為虛擬機(jī)
我們可以根據(jù)onboarddevice選項(xiàng)返回的信息來判斷目標(biāo)系統(tǒng)到底是真實(shí)的主機(jī)操作系統(tǒng)川队,還是一臺虛擬機(jī)(VMware或Virtual Box):
wmic onboarddevice get Desciption, DeviceType, Enabled, Status /format:list
用戶賬號管理
鎖定用戶賬號
我們可以使用useraccount選項(xiàng)來鎖定本地用戶賬號:
wmic useraccount where name=’demo’ set disabled=false
用戶賬號重命名
wmic useraccount where name=’demo’ rename hacker
限制用戶修改密碼
我們還可以限制本地用戶的密碼修改操作:
wmic useraccount where name=’hacker’ set passwordchangeable=false
獲取反病毒產(chǎn)品詳情
我們可以枚舉出目標(biāo)系統(tǒng)安裝的反病毒產(chǎn)品信息力细,包括安裝位置和版本:
wmic /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,productState, pathToSignedProductExe
清理系統(tǒng)日志
WMIC命令的nteventlog選項(xiàng)還可以清除系統(tǒng)的日志記錄,當(dāng)你入侵了某個(gè)系統(tǒng)之后固额,這個(gè)命令可以幫助你掩蓋攻擊痕跡:
wmic nteventlog where filename='[logfilename]’ cleareventlog
wmic nteventlog where filename=’system’ cleareventlog
*參考來源:hackingarticles眠蚂,
轉(zhuǎn)載原文來自:https://blog.csdn.net/discover2210212455/article/details/82711930
