Windows WMI 详解之WMI远程交互

一.WMI远程交互

当前，WMI支持两种远程交互的协议：DCOM协议和WinRm协议。我们可以通过这两种协议对远程的机器进行对象查询、事件注册以及WMI类方法的执行等操作，攻击者要有效的利用WMI的两种远程交互协议则需要一定的特权用户凭证，因此大多数的安全厂家通常都不会对WMI这两种协议所传输的恶意内容以及恶意流量进行审查，这就让攻击者对WMI这两种协议有了可利用的空间，那么，接下来给大家分别介绍WMI所支持的两种协议—DCOM协议和WinRm协议。

1.DCOM

DCOM（分布式组件对象模型）是微软基于COM（组件对象模型）推出的一系列概念和程序接口，通过该技术使其能够在局域网、广域网甚至Internet上不同计算机的对象之间进行通讯，从而在位置上达到分布性，满足客户和应用的需求。

在了解DCOM之前我们先简单介绍一下COM技术。COM是微软的一套软件组件接口标准，定义了组件和本地客户端之间互相作用的方式。它使得组件和客户端无需任何中介组件就能相互联系。而DCOM是COM的扩展，使用DCOM可以不受本地限制，通过远程过程调用（RPC）技术实现客户端程序实例化和访问远程计算机的COM对象。

DCOM为分布在网络不同节点的两个COM组件提供了互相操作的基础结构。其增强了COM的分布处理性能，支持多种通信协议，加强了组件之间通信的安全保障。DCOM在组件中的作用有：PC机间通信的PCI和ISA总线，负责各种组件之间的信息传递，如果没有DCOM，则达不到分布计算环境的要求。

2.WinRM

WinRM（Windows远程管理）相对于DCOM来讲，目前已成为Windows建议使用的远程管理协议。WinRM是基于Web服务管理规范（Web Services Management ）所构建的一种基于SOAP的设备管理协议，它允许使用SOAP通过HTTP(S)远程管理Windows计算机，在后端其是利用了WMI，我们也可以把它看作是一个基于HTTP的WMI API。另外，Powershell Remoting也是基于WinRM规范的，当计算机启用了WinRM以后，我们其实就可以像远程SSH会话一样，通过Powershell的方式对远程的机器进行管理，在默认情况下，WinRM会监听5985/TCP（HTTP）、5986/tcp（HTTPS）这两个端口的任意一个端口，当其中任意一个端口处于监听时，都会表示WinRM已经配置。

我们可以通过在Powershell中使用Test-WSMan函数来验证目标是否已经配置了WinRM。如果Test-WSMan返回了如图1-1所示的信息，则表示目标系统中的WinRm服务处于监听状态。

IMG_320

我正在参与2024腾讯技术创作特训营第五期有奖征文，快来和我瓜分大奖！