穿透基础——WMIC的使用

0x00 前言

WMI(Windows Management Instrumentation)是一种管理功能，它提供了访问Windows系统组件的统一环境，并支持本地和远程访问。前面的文章《WMI Attacks》，《WMI Backdoor》，《WMI Defense》，《Study Notes of WMI Persistence using wmic.exe》已经介绍了相关内容。本文将从信息收集和横向移动的角度分析wmic的常用方法，并基于利用思路给出一些防御建议。

0x01 简介

本文将介绍以下内容：

wbemtest的用法

通过wmic查询主机信息

通过wmic修改注册表

通过wmic执行程序

以及本地和远程访问WMI服务。

0x02 wbemtest用法

参考资料：

https://docs . Microsoft . com/en-us/mem/config mgr/develop/core/understand/introduction-to-WBEM test

Windows是默认安装的，可用于连接到WMI命名空间和访问WMI服务。

在wbemtest的帮助下，我们可以获得WMI完整的功能细节和用法。

界面如下

单击连接.并输入WMI命名空间root\cimv2。连接root\cimv2后，即可进入主页面，如下图所示。

常见函数的示例如下：

(1)Enum Classes…

类，可用于枚举所有对象和查询每个类的定义。

以查询Win32_Process对象为例：

选择枚举类.-递归-OK，选择Win32_Process，双击进入对象编辑器，如下图所示。

属性栏可以查看属性，比如这里是Handle，可以通过查询来查询.以后再说。

“方法”列可以查看方法，例如，Create is here，它可以由Execute方法调用.下面。

(2)Query…

属性，需要WMI查询语言(WQL)。

参考资料：

https://docs . Microsoft . com/en-us/windows/win32/wmisdk/wql-SQL-for-wmi

示例语法：

从Win32_Process中选择句柄

查询结果如下

用wmic替换该查询语句的命令如下：

wmic/namespace:“\ \ root \ CIM v2”路径Win32_Process获取句柄

(3)Execute Method…

调用方法。这里以调用Win32_Process对象的Create方法为例。

将对象路径设置为Win32_Process，然后单击确定。

在弹出的界面中设置创建的方法。

单击参数中的编辑.并在弹出的界面中选择命令行-编辑属性。

将Valve设置为calc，如下图所示

点击保存对象-执行！弹出计算器

将上述操作更改为wmic的完整命令如下：

wmic/namespace:“\ \ root \ CIM v2”路径Win32_Process调用create“calc”

速记命令如下：

wmic流程调用创建“计算”

0x03 本地和远程访问WMI服务

1.查询主机名称

本地：

wmic/namespace:“\ \ root \ CIM v2”路径Win32_ComputerSystem get Name

远程：

wmic/node:192 . 168 . 1 . 1/user:' administrator '/password:' 123456 '/namespace:' \ \ root \ CIM v2 ' PATH Win32 _ ComputerSystem get Name

2.注册表操作

详情请咨询《Study Notes of WMI Persistence using wmic.exe》。

以下是一些常见的命令：

(1)获得当前用户的远程桌面连接历史记录

使用以下命令枚举注册表项HKCU:\ software \ Microsoft \ terminal server client \ servers:

wmic/namespace:“\ \ root \ CIM v2”路径stdregprov调用enum key ^h80000001,'software\microsoft\terminal服务器客户端\Servers”

(2)远程查询和修改Restricted Admin Mode

受限管理模式的内容请参考《渗透技巧——Pass the Hash with Remote Desktop(Restricted Admin mode)》。

C Sharp实现远程查询和修改受限管理模式可以参考：

https://github.com/GhostPack/RestrictedAdmin

https://github.com/airzero24/WMIReg

查询远程受限管理模式的wmic命令如下：

wmic/node:192 . 168 . 1 . 1/user:' administrator '/password:' 123456 '/namespace:' \ \ root \ CIM v2 ' path stdreg prov调用getdwordvalue ^h80000002,'system\currentcontrolset\control\lsa','disablerestrictedadmin'

打开远程受限管理模式的wmic命令如下：

wmic/node:192 . 168 . 1 . 1/user:' administrator '/password:' 123456 '/namespace:' \ \ root \ CIM v2 ' path stdreg prov call setdwordvalue ^h80000002,'system\ current control set \ control \ LSA '，' DisableRestrictedAdmin '，' 0 '

关闭远程受限管理模式的wmic命令如下：

wmic/node:192 . 168 . 1 . 1/user:' administrator '/password:' 123456 '/namespace:' \ \ root \ CIM v2 ' path stdreg prov call setdwordvalue ^h80000002,'system\ current control set \ control \ LSA '，' DisableRestrictedAdmin '，' 1 '

3.执行程序

本地：

wmic流程调用创建"计算"

远程：

wmic/node:192。168 .1 .1/用户：'管理员'/密码：' 123456 '进程调用创建“计算”

4.进程操作

查询本地所有进程：

wmic/namespace:"\ \ root \ CIM v2 "路径Win32_Process get name，processid，命令行/FORMAT:list

查询远程主机所有进程：

wmic/node:192。168 .1 .1/user:' administrator '/password:' 123456 '/namespace:' \ \ root \ CIM v2 ' PATH Win32 _ Process get name，processid，commandline /FORMAT:list

其他用法还可参考：https://个文档。微软。com/en-us/archive/blogs/jhoward/wmic-samples

0x04 防御检测

需要注意的是，默认配置下WMI的日志记录很少，无法记录WMI的命令细节

WMI-活动的找到；查出日志能够记录简单的日志，但也无法记录WMI的命令细节，开启方法如下：

打开事件查看器，选择查看-显示分析和调试日志

依次选择应用程序和服务日志-微软视窗WMI活动-跟踪，点击启用日志

使用wmic命令时，默认启动进程c:\ windows \ system32 \ WBEM \ wmic。exe，这里可以选择Sysmon记录进程创建的细节，查看命令行获得WMI的命令细节

详细日志细节可参考：https://jpcertcc。github。io/工具分析结果表/详情/wmic。html文件的后缀

也可以选择开源的数字取证工具迅猛龙，能够记录进程创建的细节，包括命令行

0x05 小结

本文介绍了wmic的相关基础知识，结合利用思路，给出防御建议。

留下回复