开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何使用UNC路径进行WMI事件监视

UNC路径是指通过网络访问共享资源的路径，UNC是Universal Naming Convention的缩写。在Windows操作系统中，UNC路径可以用于访问远程计算机上的文件、文件夹以及执行WMI（Windows Management Instrumentation）事件监视等操作。

使用UNC路径进行WMI事件监视的步骤如下：

确保目标计算机上已启用WMI服务，并且具有足够的权限来执行事件监视操作。
在本地计算机上打开命令提示符或PowerShell窗口。
使用以下命令连接到目标计算机的WMI服务：

wmic /node:<目标计算机名称> /user:<用户名> /password:<密码> /namespace:\\root\cimv2 path <WMI类名> create

其中，<目标计算机名称>是指要连接的远程计算机的名称，<用户名>和<密码>是用于连接到远程计算机的凭据，<WMI类名>是指要监视的WMI类名。

根据需要，可以使用/every:<间隔时间>参数指定事件监视的间隔时间，例如：

wmic /node:<目标计算机名称> /user:<用户名> /password:<密码> /namespace:\\root\cimv2 path <WMI类名> create /every:5

上述命令将每隔5秒执行一次WMI事件监视。

执行上述命令后，将开始监视指定的WMI事件。可以根据需要在命令提示符或PowerShell窗口中查看或处理事件。

需要注意的是，使用UNC路径进行WMI事件监视需要确保目标计算机上已启用WMI服务，并且具有足够的权限来执行相关操作。另外，UNC路径也可以用于其他网络操作，如访问共享文件夹等。

腾讯云提供了一系列与云计算相关的产品和服务，包括云服务器、云数据库、云存储等。具体推荐的产品和产品介绍链接地址可以根据具体需求和场景进行选择。

相关搜索:Discord.py (重写)如何使用on_message事件进行冷却？如何使用angular 7 karma/jasmine对@hostlistener粘贴事件进行单元测试如何使用FOR XML路径根据列对SQL中的多个嵌套XML进行分组如何使用react-spring对onClick事件的文本进行动画处理？如何使用React.Context进行事件跟踪如何使用事件总线在微服务之间进行通信？如何使用单击事件侦听器进行按钮切换显示？如何使用回调对命令中的事件链进行排序？如何使用字符串进行GitHub操作的事件配置？如何使用带有单击事件的vue.js进行多类绑定？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

域渗透-横向移动命令总结

Certutil是Windows自带的命令行工具，用于管理Windows证书并作为证书服务的一部分安装。Certutil提供了从网络中下载文件的功能，测试人员可以在远程主机上执行Certutil命令，控制其下载预先部署在可控服务器上的恶意文件，如攻击载荷等。

01

【脚本】python中wmi介绍和使用

一：WMI基础知识 =================================================================== WMI 最初于1998年作为一个附加组件与 Windows NT 4.0 Service Pack 4 一起发行，是内置在Windows 2000、 Windows XP和Windows Server 2003 系列操作系统中核心的管理支持技术。基于由 Distributed Management Task Force (DMTF) 所监督的业界标准，WMI是一种规范和基础结构，通过它可以访问、配置、管理和监视几乎所有的Windows资源。大多用户习惯于使用众多的图形化管理工具来管理Windows资源，在WMI之前这些工具都是通过 Win32应用程序编程接口(Application ProgrammingInterfaces，API)来访问和管理Windows资源的。只要你熟悉系统编程你就知道API有多么重要。但是大多数脚本语言都不能直接调用Win32 API，WMI的出现使得系统管理员可以通过一种简便的方法即利用常见的脚本语言实现常用的系统管理任务。利用WMI需要和脚本如WSH和VBScript结合起来，可以实现的功能大家可以看微软的MSDN文档。在编写我们自己的脚本之前，我们需要对WMI的体系结构有个基本的了解。如图一：(1.gif)

02

Windows提权

《Python黑帽子：黑客与渗透测试编程之道》的读书笔记，会包括书中源码，并自己将其中一些改写成Python3版本。书是比较老了，anyway，还是本很好的书

02

内网渗透之哈希传递攻击

大多数渗透测试人员都听说过哈希传递(Pass The Hash)攻击。该方法通过找到与账户相关的密码散列值(通常是 NTLM Hash)来进行攻击。在域环境中，用户登录计算机时使用的大都是域账号，大量计算机在安装时会使用相同的本地管理员账号和密码，因此，如果计算机的本地管理员账号和密码也是相同的，攻击者就能使用哈希传递攻击的方法登录内网中的其他计算机。同时，通过哈希传递攻击攻击者不需要花时间破解哈希密在Windows网络中，散列值就是用来证明身份的（有正确的用户名和密码散列值，就能通过验证），而微软自己的产品和工具显然不会支持这种攻击，于是，攻击者往往会使用第三方工具来完成任务。在Windows Server2012R2及之后版本的操作系统中，默认在内存中不会记录明文密码，因此，攻击者往往会使用工具将散列值传递到其他计算机中，进行权限验证，实现对远程计算机的控制。

02

ASP.NET 2.0 中 Web 事件

ASP.NET 2.0 还提供了全功能的应用程序监视和健康监视。这个系统是由一个完全可扩展事件模型和一个能将事件发送到多种接收器的事件引擎组成的。举例来说，您可以配置您的 ASP.NET 应用程序来每天发送电子邮件，表明服务器正在运行并且包括可用内存的数量。同样，您可以创建一个链接到未处理异常的健康事件。异常内容、请求标题以及时间和日期都可以被发送到一个错误日志记录数据库。 ASP.NET 2.0 包含了内置的事件，包括心跳、应用程序生存期事件（启动/停止/编译）和错误陷阱事件（未处理异常）。不过，，您可

07

WMI远程访问问题解决方法

WMI 全称为：Microsoft Windows Management Instrumentation (WMI)

03

Python通过WMI读取主板BIOS信息

Windows Management Instrumentation (WMI，Windows管理规范) 是Web-Based Enterprise Management (WBEM)的Windows实现，是在Windows操作系统中管理和操作数据的基础设施。 WBEM的数据模型是CIM（Common Information Model，公共信息模型）。CIM是一个用来命名计算机的物理和逻辑单元的标准的命名系统（或称为命名模式），例如硬盘的逻辑分区、正在运行的应用的一个实例，或者一条电缆。 WMI是一项核心

WMI 攻击手法研究 – 基础篇 (第一部分)

这篇文章是有关 WMI 的多篇系列文章中的第一篇，如果读者对 PowerShell 有个基本的了解，那么对阅读本篇文章会有所帮助，但这不是必需的。

02

进攻性横向移动

横向移动是从一个受感染的宿主移动到另一个宿主的过程。渗透测试人员和红队人员通常通过执行 powershell.exe 在远程主机上运行 base64 编码命令来完成此操作，这将返回一个信标。问题在于攻击性 PowerShell 不再是一个新概念，即使是中等成熟的商店也会检测到它并迅速关闭它，或者任何半体面的 AV 产品都会在运行恶意命令之前将其杀死。横向移动的困难在于具有良好的操作安全性 (OpSec)，这意味着生成尽可能少的日志，或者生成看起来正常的日志，即隐藏在视线范围内以避免被发现。这篇博文的目的不仅是展示技术，但要显示幕后发生的事情以及与之相关的任何高级指标。我将在这篇文章中引用一些 Cobalt Strike 语法，因为它是我们主要用于 C2 的语法，但是 Cobalt Strike 的内置横向移动技术是相当嘈杂，对 OpSec 不太友好。另外，我知道不是每个人都有 Cobalt Strike，所以在大多数示例中也引用了 Meterpreter，但这些技术是通用的。

01

OFFENSIVE LATERAL MOVEMENT 横向移动(译文)

近期看了一篇不错的横向移动的文章，觉得不错就简单翻译了一下(谷歌翻译哈哈哈哈！) 原文地址：https://posts.specterops.io/offensive-lateral-movement-1744ae62b14f

01

WMI 攻击手法研究 – 识别和枚举 (第四部分)

这是 WMI 攻击手法研究系列文章第四篇，将更多地关注信息收集和枚举。WMI 提供了大量的类，可以从中列举出很多东西。因此，让我们来深入了解，不要再浪费时间了。

03

Windows WMI 详解（一）

WMI全称为Windows Management Instrumentation，即Windows管理规范，是Windows 2K/XP管理系统的核心。它属于管理数据和操作的基础模块，设计WMI的初衷是为了能达到一种通用性，通过WMI去操作系统、应用程序等去管理本地或者远程资源。它支持分布式组件对象模型（DCOM）和Windws远程管理（WinRM），用户可通过WMI服务访问、配置、管理和监视Windows所有资源的功能，对于其他的Win32操作系统来讲WMI是一个非常不错的插件，同时也是测试人员在攻防实战中一个很完美的“无文件攻击”入口途径。

01

使用 CVE-2021-43893 在域控制器上删除文件

2021 年 12 月 14 日，在Log4Shell混乱期间，微软发布了CVE-2021-43893，这是一个影响 Windows 加密文件系统 (EFS) 的远程提权漏洞。该漏洞归功于Google Project Zero的James Forshaw，但可能是由于 Log4Shell 的氛围，该漏洞几乎没有引起注意。

03

狩猎二进制重命名

ATT&CK 技术项编号为 T1036 的二进制重命名技术，正在被越来越多的恶意软件所采用，本文介绍如何使用多种方法对该技术进行监控与检测。

02

Python wmi 模块的学习

# -*- coding:utf-8 -*- import datetime import os import wmi import time import _winreg import pythoncom import threading import win32api import win32con import Queue c = wmi.WMI() # 如果要连接远程机器，只需要在WMI构造器中指定远程机器名即可 # c = wmi.WMI("some_other_machine") # Li

02

WMI使用技巧集

WMI使用技巧集　很多的朋友对WMI可能见过但理解不深，我也是十分想了解关于WMI的知识，可一直找不运维

02

利用WMITool解决浏览器快捷方式启动参数被篡改以及浏览器主页被劫持的问题

症状①：通过快捷方式启动浏览器，首页跳转到2345以及hao123网址导航页，切系统内安装的多款浏览器（IE、Chrome、Firefox、Opera、Safari、Maxthon）症状相同

02

如何有效监控.NET 应用程序

当你的.NET应用出现性能问题的时候能很快得找到问题的症结吗? 这是一个运营的企业应用所必需考虑的问题，最近工作中碰到很多这方面的问题，运行中的系统完全是一个黑盒子，不象开发中的产品可以通过

07

WinRM的横向移动详解

横向的手法从简单的远程桌面协议（rdp）到漏洞利用，手法不断在改变，要对抗的设备产品也不断地变化，有个技术主管问我，红蓝的快乐在于什么？为什么我钟情在红蓝。我想中快乐就是来自于对抗吧。

01

MoveKit：一款功能强大的Cobalt Strike横向渗透套件

MoveKit是一款功能强大的Cobalt Strike横向渗透套件，本质上来说MoveKit是一个Cobalt Strike扩展，它利用的是SharpMove和SharpRDP .NET程序集的execute_assembly函数实现其功能，攻击脚本能够通过读取指定类型的模板文件来处理Payload创建任务。

03

Lateral Movement之WMI事件订阅

在之前，我曾在安全客分享过《wmi攻击与防御》的相关议题。里面介绍了关于wmi的一些相关内容，其中提到了使用wmi进行横向移动的方法，只是当时由于时间原因并未对细节进行讲解，在成熟的企业内网中，如何优雅的进行横向移动是需要每个安全人员需要去注意的点。比如如何使用CobaltStrike、Impacket等工具进行横向移动时最小化操作的技巧等。本文将讲解如何使用wmi事件订阅来进行横向移动。

02

OOB（out of band）分析系列之DNS渗漏

前言 SQL注入作为最老的漏洞之一，它的价值随着整个web的发展从来没有过时，足以证明它的地位和价值。我和很多人聊过这个漏洞，发现很多人对这个漏洞的了解只是拿sqlmap干，好一点的还会手注，懂原理。但是它们本身只了解到了这个漏洞的实战效果和实战需要等等，并没有深入了解这个漏洞。但是这个漏洞本身基于数据库，而数据库是很灵活的，就会发展出很多邪道。笔者最近看了很多关于sql注入的文章，发现国外已经玩出玫瑰花来了，就打算写个系列总结一下。这篇文章的面向对象不是新手，起码你要会sql的手注，知道sql注入的

06

Windows错误码大全error code

0000 操作已成功完成。 0001 错误的函数。 0002 系统找不到指定的文件。 0003 系统找不到指定的路径。 0004 系统无法打开文件。 0005 拒绝访问。 0006 句柄无效。 0007 存储区控制块已损坏。 0008 可用的存储区不足，无法执行该命令。 0009 存储区控制块地址无效。 0010 环境错误。

01

域内横向移动分析及防御

本篇继续阅读学习《内网安全攻防：渗透测试实战指南》，本章系统的介绍了域内横向移动的主要方法，复现并剖析了内网域方面最重要、最经典的漏洞，同时给出了相应的防范方法

01

SharpSCCM：一款利用SCCM实现横向渗透的强大工具

SharpSCCM是一款功能强大的横向渗透和凭证收集工具，该工具主要利用了微软终端配置管理器（SCCM）来实现其功能，并能够通过访问SCCM管理终端GUI来实现横向渗透和凭证收集。

02

WMI ——重写版

本文是以WMI的重写版，本来这份笔记会更长，原版的笔记以Black Hat 2015的Abusing Windows Management Instrumentation (WMI) to Build a Persistent, Asyncronous, and Fileless Backdoor为主要学习资料，在笔记写到大概一万字的时候，Typora 中保存的内容部分丢失。于是重新整理，有了这份，我认为精简版的WMI笔记。

01

cobalt strike权限维持插件使用

https://github.com/yanghaoi/CobaltStrike_CNA

01

基于资源的约束委派（RBCD）

给机器添加RBCD的前提：1.自己能给自己添加 2.ACL→Account Restriction/msDS-AllowedToActOnBehalfOfOtherIdentity属性→creator-sid/backdoor/high level user。如果对计算机对象/域用户具Account Restriction和msDS-AllowedToActOnBehalfOfOtherIdentity属性的WriteProperty，就能进行基于资源约束委派的利用。

04

Python监视进程创建情况和系统服务状态

（1）监视Windows系统中进程创建情况 import wmi c = wmi.WMI() process_watcher = c.Win32_Process.watch_for('creation') while True: try: new_process = process_watcher() proc_owner = '{0[0]}\\{0[1]}'.format(new_process.GetOwner()) temp_creation

06

如何检测并清除WMI持久性后门

当前，Windows Management Instrumentation（WMI）事件订阅已经变成了一种非常流行的在端点上建立持久性后门的技术。于是，我决定鼓捣一下Empire的WMI模块，并分析相关的代码，看看能不能清除这些持久化后门。此外，文中还介绍了用于查看和删除WMI事件订阅的一些PowerShell命令。

02

Z大牛|ZABBIX全栈级监控实践（二）Windows监控

《ZABBIX全栈级监控实践》系列将由浅入深探讨如何实现ZABBIX全栈级别的监控。

02

WMI技术介绍和应用——事件通知

在《WMI技术介绍和应用——WMI概述》中，我们使用了下图介绍WMI构架（转载请指明出于breaksoftware的csdn博客）

02

C/C++ 运用WMI接口查询系统信息

Windows Management Instrumentation（WMI）是一种用于管理和监视Windows操作系统的框架。它为开发人员、系统管理员和自动化工具提供了一种标准的接口，通过这个接口，可以获取有关计算机系统硬件、操作系统和应用程序的信息，以及对系统进行管理和控制的能力。

05

再探勒索病毒之删除卷影副本的方法

为了令勒索攻击实施有效，勒索软件进行的一个常见行动是卷影备份（即影子副本），从而使受害者无法恢复任何已加密的文件。

04

危险漫步利用图片链接完成注入渗透

利用图片链接完成注入渗透最近危险漫步闲着无聊就翻墙去国外看了一看黑客新闻，有一条新闻引起了我的关注，那就是国外某黑客黑了Word文档，导致了一家公司损失了数千万美金，整个事件我就不多说了，大家可以去去谷歌查看。这次危险漫步要和大家讲的就是黑客与Word之间的故事。 Word经常被黑客利用来做一些黑产，这个事情我是知道的，但是我一直没有当回事我觉得这些都是小打小闹，可是当我自己真的开始实际操作的时候却发现，原来这里面真的是别有洞天啊~~ 打一个简单的比方就是，在进行Web应用渗

07

如何检测并移除WMI持久化后门？

Windows Management Instrumentation（WMI）事件订阅，是一种常被攻击者利用来在端点上建立持久性的技术。因此，我决定花一些时间研究下Empire的WMI模块，看看有没有可能检测并移除这些WMI持久化后门。此外，文中我还回顾了一些用于查看和移除WMI事件订阅的PowerShell命令。这些命令在实际测试当中都非常的有用，因此我也希望你们能记录它们。

03

WMI利用（权限维持）

在简单了解了WMI后，我们开始了横向移动，包括其中的信息收集，工具利用。那么在我们短暂的获取权限后，如何才能将权限持久化，也就是所说的权限维持住呢？笔者看了国内外部分文章后，发现WMI做权限维持主要是介绍WMI事件，并将其分为永久事件和临时事件，本文参考部分博客文章对WMI事件进行讲解，不足之处，望及时指出。

02

内网渗透基石篇--域内横向移动分析及防御

域内横向移动技术就是在复杂的内网攻击中被广泛使用的一种技术，尤其是在高级持续威胁中。攻击者会利用该技术，以被攻陷的系统为跳板，访问其他域内主机，扩大资产范围（包括跳板机器中的文档和存储的凭证，以及通过跳板机器连接的数据库、域控制器或其他重要资产）。

06

WMI技术介绍和应用——接收事件

时隔两三年，再次更新WMI系列博文。好在功能在三年前就已经实现了，现在只要补充些实例即可。

01

[网络安全] 三十二.Python攻防之获取Windows主机信息、注册表、U盘痕迹和回收站(1)

WMI(Windows Management Instrumentation) 是一项核心的Windows管理技术，WMI模块可用于获取Windows内部信息。WMI作为一种规范和基础结构，通过它可以访问、配置、管理和监视几乎所有的Windows资源，比如用户可以在远程计算机器上启动一个进程；设定一个在特定日期和时间运行的进程；远程启动计算机；获得本地或远程计算机的已安装程序列表；查询本地或远程计算机的Windows事件日志等等。

01

技术分享-持久性-WMI事件订阅

Windows Management Instrumentation (WMI) 使系统管理员能够在本地和远程执行任务。从红队的角度来看，WMI 可用于执行多种活动，例如横向移动、持久性、态势感知、代码执行以及作为命令和控制(C2)。WMI 是几乎所有 Windows 操作系统（Windows 98-Windows 10）中都存在的 Windows 的一部分，这一事实使这些攻击性活动远离蓝队的雷达。

01

[Python攻防] 一.获取Windows主机信息、注册表、U盘历史痕迹和回收站文件

声明：本人坚决反对利用教学方法进行恶意攻击的行为，一切错误的行为必将受到严惩，绿色网络需要我们共同维护，更推荐大家了解技术背后的原理，更好地进行安全防护。虽然作者是一名安全小白，但会保证每一篇文章都会很用心地撰写，希望这些基础性文章对你有所帮助，在安全路上一起前行。

02

SpoolFool：Windows Print Spooler 权限提升 (CVE-2022-21999)

早在 2020 年 5 月，微软就修复了一个 Windows Print Spooler 权限提升漏洞。该漏洞的编号为 CVE-2020–1048，微软承认 SafeBreach Labs 的 Peleg Hadar 和 Tomer Bar 报告了该安全问题。在补丁发布的同一天，Yarden Shafir和Alex Ionescu发表了关于该漏洞的技术文章。本质上，用户可以通过创建指向磁盘上文件的打印机端口来写入任意文件。在修补漏洞 (CVE-2020–1048) 后，Print Spooler 现在将在添加端口之前检查用户是否有权创建或写入文件。补丁和博文发布一周后，Paolo Stagno（又名 VoidSec）私下向微软披露了 CVE-2020–1048 的绕过方法。该绕过在三个月后的 2020 年 8 月得到修补，微软承认有八个独立实体报告了该漏洞，该漏洞被确定为 CVE-2020-1337。该漏洞的绕过使用目录连接（符号链接）来规避安全检查。假设用户创建了目录C:\MyFolder\并配置了一个打印机端口以指向该文件C:\MyFolder\Port。该操作将被授予，因为确实允许用户创建C:\MyFolder\Port. 现在，如果用户随后变成C:\MyFolder\指向C:\Windows\System32\创建端口之后的目录连接会发生什么？好吧，Spooler 会简单地写入文件C:\Windows\System32\Port。

03

Windows WMI 详解之WMI ATTACK

当我们在拿到内网某一台机器权限时，第一时间要做的就是信息收集，WMI中的各种类为我们在内网信息收集方面提供了十分有利的条件，作为红队的我们可以利用如下WMI中各种类的子集来对目标进行全方面信息收集。

01

Windows WMI 详解之WMI事件

EventFilter（事件过滤器）存储在一个ROOT\subscription:__EventFilter对象的实例里，其主要作用是使用WMI的查询语言来过滤审核特定的事件，一个事件过滤器接受一个WMI事件查询参数，同时EventFilter事件过滤器可以对Intrinsic Events (内部事件)和Extrinsic Events (外部事件）进行事件查询。

01

SQL Server数据库UNC路径注入攻击

如果我们能强制SQL服务器连接到我们控制的SMB共享，连接将会包含认证数据。更具体的来说，将会发起一个NTLM认证，我们将能捕获到运行SQL服务的账户的密码hash。然后我们可以尝试破解这个hash，或者进行hash转发攻击。

01

Windows下Qt读取系统的内存、CPU、GPU等使用信息

在当今计算机应用广泛的领域中，了解系统的内存、CPU和GPU使用情况是非常重要的。对于开发人员和系统管理员来说，准确获取这些信息可以帮助他们优化软件性能、诊断问题并做出相应的调整。在Windows平台上实现这一目标会涉及到调用Windows系统API，使用合适的工具和库来获取所需的信息。

04

ShellReset RAT 利用基于恶意宏的 word 文档传播

正如我们在以前的博客中提到的那样，网络犯罪分子通常会将其攻击与时事联系起来。因此，不足为奇的是，我们注意到其中的另一个，其中一个特别使用伦敦的技术事件作为诱饵。

03

wmic命令解析与实例

描述：WMI的全名为”Windows Management Instrumentation - Windows管理规范“, 从Windows 98开始 Windows操作系统都支持WMI, 它是由一系列工具集组成的可以在本地或者远程管理计算机系统。

02

iOS逆向之使用unc0ver越狱 iOS13.5

因为工作需要，笔者最近在研究越狱，网上看了很多文章，这篇文章记录了给iOS 13设备越狱的方式和过程，希望对你有帮助。

03

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭