7.6 KiB
WmicExec
htARTE(HackTricks AWS Red Team Expert) を通じてゼロからヒーローまでAWSハッキングを学ぶ!
HackTricksをサポートする他の方法:
- HackTricksで企業を宣伝したいまたはHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください!
- 公式PEASS&HackTricksスワッグを入手する
- The PEASS Familyを発見し、独占的なNFTsコレクションをご覧ください
- 💬 Discordグループに参加するか、telegramグループに参加するか、Twitter 🐦で私をフォローする:@carlospolopm。
- ハッキングトリックを共有するために、HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出してください。
動作の説明
ユーザー名とパスワードまたはハッシュがわかっているホストでプロセスを開くことができます。WMIを使用してコマンドを実行し、Wmiexecによって半インタラクティブなシェル体験を提供します。
dcomexec.py: 異なるDCOMエンドポイントを利用し、このスクリプトはWmiexec.pyに似た半インタラクティブなシェルを提供します。具体的には、ShellBrowserWindow DCOMオブジェクトを活用しています。現在、MMC20、Application、Shell Windows、Shell Browser Windowオブジェクトをサポートしています。(出典:Hacking Articles)
WMIの基礎
名前空間
ディレクトリスタイルの階層構造で構成されており、WMIのトップレベルコンテナは\rootで、その下に名前空間として組織された追加のディレクトリがあります。 名前空間をリストするコマンド:
# Retrieval of Root namespaces
gwmi -namespace "root" -Class "__Namespace" | Select Name
# Enumeration of all namespaces (administrator privileges may be required)
Get-WmiObject -Class "__Namespace" -Namespace "Root" -List -Recurse 2> $null | select __Namespace | sort __Namespace
# Listing of namespaces within "root\cimv2"
Get-WmiObject -Class "__Namespace" -Namespace "root\cimv2" -List -Recurse 2> $null | select __Namespace | sort __Namespace
特定の名前空間内のクラスは、次のコマンドを使用してリストできます:
gwmwi -List -Recurse # Defaults to "root\cimv2" if no namespace specified
gwmi -Namespace "root/microsoft" -List -Recurse
クラス
WMIクラス名(例:win32_process)とそれが存在する名前空間を知ることは、WMI操作にとって重要です。
win32
で始まるクラスをリストするコマンド:
Get-WmiObject -Recurse -List -class win32* | more # Defaults to "root\cimv2"
gwmi -Namespace "root/microsoft" -List -Recurse -Class "MSFT_MpComput*"
クラスの呼び出し:
# Defaults to "root/cimv2" when namespace isn't specified
Get-WmiObject -Class win32_share
Get-WmiObject -Namespace "root/microsoft/windows/defender" -Class MSFT_MpComputerStatus
メソッド
メソッドは、WMIクラスの1つ以上の実行可能な機能です。
# Class loading, method listing, and execution
$c = [wmiclass]"win32_share"
$c.methods
# To create a share: $c.Create("c:\share\path","name",0,$null,"My Description")
# Method listing and invocation
Invoke-WmiMethod -Class win32_share -Name Create -ArgumentList @($null, "Description", $null, "Name", $null, "c:\share\path",0)
WMI列挙
WMIサービスの状態
WMIサービスが稼働しているかどうかを確認するコマンド:
# WMI service status check
Get-Service Winmgmt
# Via CMD
net start | findstr "Instrumentation"
システムおよびプロセス情報
WMIを介してシステムおよびプロセス情報を収集する:
Get-WmiObject -ClassName win32_operatingsystem | select * | more
Get-WmiObject win32_process | Select Name, Processid
攻撃者にとって、WMIはシステムやドメインに関する機密データを列挙するための強力なツールです。
wmic computerystem list full /format:list
wmic process list /format:list
wmic ntdomain list /format:list
wmic useraccount list /format:list
wmic group list /format:list
wmic sysaccount list /format:list
手動リモートWMIクエリ
特定の情報(例:ローカル管理者またはログオンユーザー)を取得するために、慎重なコマンド構築を行うことで、リモートでWMIをクエリすることが可能です。
リモートマシン上でのローカル管理者のステルス識別やログオンユーザーの特定は、特定のWMIクエリを使用して達成できます。wmic
は、複数のノードでコマンドを同時に実行するために、テキストファイルから読み取ることもサポートしています。
Empireエージェントを展開するなど、WMIを介してプロセスをリモートで実行するには、以下のコマンド構造が使用され、正常な実行は「0」という戻り値で示されます。
wmic /node:hostname /user:user path win32_process call create "empire launcher string here"
このプロセスは、WMIのリモート実行およびシステム列挙の機能を示し、システム管理およびペネトレーションテストの両方での有用性を強調しています。
参考文献
自動ツール
{% code overflow="wrap" %}
SharpLateral redwmi HOSTNAME C:\\Users\\Administrator\\Desktop\\malware.exe
{% endcode %}
htARTE(HackTricks AWS Red Team Expert) でAWSハッキングをゼロからヒーローまで学ぶ!
HackTricks をサポートする他の方法:
- HackTricks で企業を宣伝したい場合や HackTricks をPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください!
- 公式PEASS&HackTricksのグッズを入手する
- The PEASS Familyを発見し、独占的な NFTsのコレクションを見つける
- 💬 Discordグループや telegramグループに 参加したり、Twitter 🐦 @carlospolopmを フォローする
- ハッキングテクニックを共有するために、 HackTricksと HackTricks Cloud のGitHubリポジトリにPRを提出する