首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

WMI 攻击手法研究 – 基础篇 (第一部分)

正如你可能知道的那样,一项安全规则表明任何对管理有用的东西也很容易被不法分子滥用,WMI 确实可以做很多事情 —— 收集计算机状态配置设置到运行应用程序执行代码。...WMI 为应用程序或脚本提供了一个整洁统一的界面来管理计算机 (可能是远程的,也可能是本地的) —— 包括进程、服务等。...本系列的后续部分中,我们将了解如何编写自己的 MOF 文件来扩展 WMI 功能集。...但启用了 WinRM/WS-MAN (Windows 远程管理) 的计算机中,我们仍然可以使用 CIM 来执行与 WMI 完全相同的操作。...DCOM:分布式组件对象模型的别名,DCOM 是网络计算机上软件组件之间通信的专有 Microsoft 协议。WMI 使用分布式 COM (DCOM) 连接到远程计算机

1.3K21

域内横向移动分析及防御

本章内容包括: 常见远程连接方式的剖析 密码学角度理解NTLM协议 PTTPTH的原理 如何利用PsExec、WMI、smbexec进行横向移动 Kerberos协议的认证过程 Windows认证加固方案...SAM文件中,SAM文件保存位置C:\Windows\System32\config,该文件不允许复制,但可以使用U盘进入PE系统进行复制 lsass.exe进程用于实现Windows的本地安全策略登陆策略...将AdministratorDebug组中移除 三、哈希传递攻击 哈希传递PTH(Pass the Hash)攻击: 域环境中,用户登录计算机使用的大都是域账号,大量计算机安装时会使用相同的本地管理员账号密码...说白了就是使用工具将散列值传递到其他计算机中,进行权限验证,实现对远程计算机的控制 实际测试中,更新KB287l997后无法使用常规的哈希传递方法进行横向移动,但Administrator账号(SID...WMI(Windows Management Instrumentation)是一系列工具集成 Windows 98开始支持 可以本地或者远程管理计算机系统 使用wmiexec进行横向移动时,

1.5K11
您找到你想要的搜索结果了吗?
是的
没有找到

内网渗透之哈希传递攻击

域环境中,用户登录计算机使用的大都是域账号,大量计算机安装时会使用相同的本地管理员账号密码,因此,如果计算机本地管理员账号密码也是相同的,攻击者就能使用哈希传递攻击的方法登录内网中的其他计算机...Windows Server2012R2及之后版本的操作系统中,默认在内存中不会记录明文密码,因此,攻击者往往会使用工具将散列值传递到其他计算机中,进行权限验证,实现对远程计算机的控制。...该补丁禁止通过本地管理员权限与远程计算机行连接,,其后果就是:无法通过本地管理员权限对远程计算机使用Psexec、WMI、 smbexec, schtasks,也无法访问远程主机的文件共享等。...Recurse:列出目录所有子目录内容。 Delete:删除文件。 Get:下载文件。 Put:上传文件设置创建,访问上次写入时间以匹配源文件。...其后果就是:无法通过本地管理员权限对远程计算机使用 Psexec、WMI、smbexec、IPC 等,也无法访问远程主机的文件共享等。

2.4K20

红队技巧-常规横向手法

,通过它可以访问、配置、管理监视几乎所有的Windows资源,比如用户可以远程计算机器上启动一个进程;设定一个WMI允许脚本语言(例如VBScript或Windows PowerShell)本地远程管理...)(组件对象模型)的扩展,它允许应用程序实例化访问远程计算机上COM对象的属性方法,就像使用基于DCERPC的DCOM协议本地计算机上的对象一样,有关每个COM(DCOM)对象的标识,实现配置的信息存储注册表中...这包括授予各个组的权限,以本地远程实例化访问关联的类 为了使DCOM可访问COM对象,必须将AppID与该类的CLSID关联,并且需要为该AppID提供适当的权限。...powershell中我们可以使用 get-CimInstance来列出本地COM程序列表 远程DCOM对象的实例表现如下: 客户端计算机远程计算机请求实例化由CLSID表示的对象。...如果客户端使用ProgID,则首先将其本地解析为CLSID。 远程计算机检查是否存在与所讨论的CLSID关联的AppID,验证客户端的权限。

2K20

内网渗透的步骤_内网渗透思路

某内网靶场的详细教程:Vulnstack(一) 内网渗透过程中经常会涉及到内网穿透,如何理解内网穿透以及端口转发、端口映射等相关知识可以参考:如何零构建对内网穿透的理解 实操部分写的比较草率,主要是为了增强认知...简单来说,咱们cmd或者powershell中使用的命令行语言,就是WMI支持的,它提供给我们一个接口如powershell,便于我们管理计算机。...135端口主要用于使用RPC(Remote Procedure Call,远程过程调用)协议并提供DCOM(分布式组件对象模型)服务,通过RPC可以保证一台计算机上运行的程序可以顺利地执行远程计算机上的代码...RPC开始是出现在Sun微系统公司HP公司的运行UNⅨ操作系统的计算机中。 简单来说,RPC就是用于支持远程IPC的连接。无论是本地连接还是远程连接,都要依托于VMI服务进行管理。...对于at&schtasks,我们可以使用impacket中的atexec.exe,使用它可以轻松地进行远程连接执行系统命令。

4.7K30

工具的使用 | Impacket的使用

我们的实现更进一步,实例化本地smbserver以接收命令的输出。这在目标计算机没有可写共享可用的情况下很有用。...atexec.py:此示例通过Task Scheduler服务目标计算机上执行命令,返回已执行命令的输出。...在此模式下,对于每个中继的连接,稍后可以通过SOCKS代理多次使用它 karmaSMB.py:无论指定的SMB共享路径名如何,都会响应特定文件内容的SMB服务器 smbserver.py:SMB服务器的...这是一个很好的例子,可以了解到如何在实际中使用impacket.smb getArch.py:此脚本将与目标主机连接,使用文档化的msrpc功能收集由(ab)安装的操作系统体系结构类型。...netview.py:获取远程主机上打开的会话列表,跟踪这些会话找到的主机上循环,跟踪远程服务器登录/退出的用户 reg.py:通过[ms-rrp]msrpc接口远程注册表操作工具。

5.9K10

利用卷影拷贝服务攻击域控五大绝招

SAM文件一样,是被Windows系统锁定的,我们来介绍一下如果将ntds.dit系统转导出以及如何读取ntds.dit中的信息。...该工具默认被安装在域控制器上,我们可以域控制器上进行操作,也可以通过域内机器远程域控制器上操作,如何进行远程操作会在后面的章节进行详细讲解。...创建一个IFM时,卷影副本会进行快照、挂载、将ntds.dit计算机SAM进行复制到目标文件夹中。...3.实战中,先将含有需要执行的命令的文本文件写入到远程目标操作系统中,然后使用diskshadow.exe调用文本文件执行。...4.监控客户端设备的diskshadow.exe实例创建,除非是业务需要,否则Windows操作系统中不应该出现diskshadow.exe,可以将其计算机中删除。

52320

PS常用命令之系统WMI查看操作相关命令

这些API是系统安装WMI模块的时候安装的,通过他们我们能够能拿到我们想要的类。 WMI有一个存储库。...尽管WMI的多数实例数据都不存储WMI中,但是WMI确实有一个存储库,用来存放提供程序提供的类信息,或者称为类的蓝图或者Schema。 WMI有一个Service。...当然也可以把一个大型系统建立WMI以及WMI的提供程序之上 Q: WMI 可以做什么? 答: 通过使你的驱动程序成为 WMI 提供程序,你可以: 使自定义数据可用于 WMI 使用者。...通过只收集请求的数据并将其发送到单个目标来减少驱动程序开销。 用描述性驱动程序定义的类名可选说明注释数据事件块,然后 WMI 客户端可以枚举显示给用户。...# 3) 本地计算机的root/default、root/cimv2命名空间中获取 WMI 类 Get-WmiObject -Namespace "root/default" -List # NameSpace

1.3K10

APT29分析报告

日志的存储位置格式不同的系统中会有所不同,比如Windows会将日志做为Windows events 而 Linux/macOS 会将其文件的形式记录(Bash History 或 /var/log...横向域渗透 WMI(Windows Management Instrumentation) 利用 WMI是Windows的一项管理功能,它为本地远程访问Windows系统组件提供了统一的环境。...它依靠WMI服务进行本地远程访问,依靠SMB( 服务器消息块 )RPCS( 远程过程调用服务 )进行远程访问。RPCS通过端口135运行。...攻击者可以使用WMI本地远程系统进行交互,并将其用作执行许多攻击方式的手段,例如信息收集以进行域主机探测远程执行恶意程序。...MimiPenguin工具可用于转储进程内存,然后通过查找文本字符串正则表达式模式来收集密码哈希,以了解给定的应用程序(例如Gnome Keyring,sshdApache)如何使用内存来存储此类身份验证工件

1.8K20

技术分享-持久性-WMI事件订阅

Windows Management Instrumentation (WMI) 使系统管理员能够本地远程执行任务。...该文件将自动存储 WMI 存储库中,并且恶意负载/命令将自动执行。 mofcomp.exe ....编译 MOF 文件后,立即生成了一个 Meterpreter 会话。 尽管一些 APT 的小组使用 MOF 文件作为 dropper 以实现 WMI 的持久性,但不建议将其作为一种方法。...该脚本使用 WMI 存储库来存储恶意命令,该命令将执行任意脚本、可执行文件或任何其他带有参数的命令。以下函数将检索所有活动的 WMI 事件对象。...默认情况下,此选项会将两个连接返回到命令控制服务器。 “ wmi_updater ” 模块能够远程位置获取有效负载,而不是将其存储 WMI 存储库中。

2.6K10

一.获取Windows主机信息、注册表、U盘历史痕迹回收站文件

WMI作为一种规范基础结构,通过它可以访问、配置、管理监视几乎所有的Windows资源,比如用户可以远程计算机器上启动一个进程;设定一个特定日期时间运行的进程;远程启动计算机;获得本地远程计算机的已安装程序列表...;查询本地远程计算机的Windows事件日志等等。...本文使用Python获取Windows系统上相关的信息可以使用WMI接口,安装调用PIP工具即可。...,并将注册信息指定文件存储到该子键中 ---- 3.获取用户账户信息 获取用户名称的代码如下: 执行结果如下,我们可以通过读取含有Users字段的数据,从而间接获取用户账户信息。...---- 如果我们想把文件删除到回收站,又怎么解决呢?Python删除文件一般使用os.remove,但这样是直接删除文件,不删到回收站的,那么想删除文件到回收站怎么办?

2.4K20

内网渗透基石篇--域内横向移动分析及防御

IPC可以通过验证用户名密码获得权限,通常在远程管理计算机查看计算机的共享资源时使用。 通过ipc$,可以与目标机器建立连接。...copy命令将payload文件复制远程目标机器中 使用at命令定时启动该payload文件 删除使用at命令创建计划任务的记录 (1)查看目标系统时间 ?...该工具可以内存中提取明文密码、散列值、PINK8S票据,还可以执行哈希传递、票据传递、构建黄金黄金票据。输入下面命令,直接拿到本地所有用户的明文密码,强大。...域环境中,用户登录计算机使用的大都是域账号,大量计算机安装使用相同的本地管理员账户密码,因此,如果计算机本地管理员账号密码也是相同的,攻击者就能使用哈希传递攻击的方法登录内网中的其他计算机。...3 更新KB2871997补丁产生的影响 微软 2014年5月发布了KB2871997.该补丁禁止通过本地管理员权限与远程计算机进行连接,其后果是,无法通过本地管理员权限对远程计算机使用psExee,

2.7K62

「机器学习」DVC:面向机器学习项目的开源版本控制系统

这保证了再现性,使其易于实验之间来回切换。 ML实验管理 利用Git分支的全部功能尝试不同的想法,而不是代码中草率的文件后缀注释。使用自动度量跟踪来导航,而不是使用纸张铅笔。...部署与协作 使用push/pull命令将一致的ML模型、数据代码包移动到生产、远程机器或同事的计算机中,而不是临时脚本。 DVCGit中引入了轻量级管道作为一级公民机制。...支持的远程存储列表不断扩展。 再现性 可复制的 单个“dvc repro”命令端到端地再现实验。DVC通过始终如一地维护输入数据、配置最初用于运行实验的代码的组合来保证再现性。...语言与框架不可知论 无论使用哪种编程语言或库,或者代码是如何构造的,可再现性管道都基于输入输出文件或目录。...DVC保证所有的文件度量都是一致的,并且正确的位置复制实验或者将其用作新迭代的基线。 版本控制模型和数据 DVC将元文件保存在Git中,而不是Google文档中,用于描述控制数据集模型的版本。

1.5K10

PTH(Pass The Hash)哈希传递攻击手法与防范

域环境中,用户登录计算机使用的大都是域账号,大量计算机安装时会使用相同的本地管理员账号密码。...因此,如果计算机本地管理员账号密码也是相同的,攻击者就可以使用哈希传递的方法登录到内网主机的其他计算机。...Windows Server 2012 R2及之后版本的操作系统中,默认在内存中不会记录明文密码,因此,攻击者往往会使用工具将散列值传递到其他计算机中,进行权限验证,实现对远程计算机的控制。...该补丁禁止通过本地管理员权限与远程计算机进行连接,其后果就是:无法通过本地管理员权限对远程计算机使用PsExec、WMI、smbexec、schtasks、at,也无法访问远程主机的文件共享等。...这里强调的是SID为500的账号,一些计算机中,即使将Administator账号改名,也不会影响SID的值。

7.5K30

三十二.Python攻防之获取Windows主机信息、注册表、U盘痕迹回收站(1)

WMI作为一种规范基础结构,通过它可以访问、配置、管理监视几乎所有的Windows资源,比如用户可以远程计算机器上启动一个进程;设定一个特定日期时间运行的进程;远程启动计算机;获得本地远程计算机的已安装程序列表...;查询本地远程计算机的Windows事件日志等等。...本文使用Python获取Windows系统上相关的信息可以使用WMI接口,安装调用PIP工具即可。...,并将注册信息指定文件存储到该子键中 ---- 3.获取用户账户信息 获取用户名称的代码如下: 执行结果如下,我们可以通过读取含有Users字段的数据,从而间接获取用户账户信息。...---- 如果我们想把文件删除到回收站,又怎么解决呢?Python删除文件一般使用os.remove,但这样是直接删除文件,不删到回收站的,那么想删除文件到回收站怎么办?

1.3K10

WMI技术介绍应用——WMI概述

同时WMI技术一个非常大的优势就是可以访问远程计算机,对于远程计算机的访问,我将安排在最末节去介绍。        ...它是Windows操作系统中管理数据操作的基础模块。我们可以通过WMI脚本或者应用程序去管理本地或者远程计算机上的资源。对于VC汇编程序员,想获取诸如CPU序列号硬盘序列号等信息是非常容易的。...微软为了能达到一种通用性目的(遵守某些行业标准),设计了WMI。它提供了一个通过操作系统、网络企业环境去管理本地远程计算机的统一接口集。...因为增强完善,我们将发现,不同的系统中,调用相同的操作将会获得不同的信息(得到的子集不同),这也是影响WMI使用的一个因素。但是技术角度说,这个不是问题。        ...文件的角度来说,WMI提供者是由一个实现逻辑的DLL承载着描述数据操作的类的托管对象格式(Managed Object Format)文件组成。

2.4K20

内网环境下的横向移动总结

例如,在前不久的美国燃油管道勒索攻击事件中,darkside攻击团伙文件、内存域控制器中收集凭据,利用这些凭据来登录其它主机,再对重要数据控制端口进行加密,进而实施勒索。...如何理解威胁面大? 目标对象来说,横向移动威胁的不是某一台主机,而是多台主机,甚至整个内网。...DCOM 使用远程过程调用(RPC)技术将组件对象模型(COM)的功能扩展到本地计算机之外,因此,远程系统上托管COM服务器端的软件(通常在DLL或exe中)可以通过RPC向客户端公开其方法。...这样,当攻击者以本地管理员身份登录时,就没有权限使用Mimikatz内存导出密码。...通过监控文件创建行为SMB传输文件行为,可以发现远程文件复制活动;通过监控可移动介质上的文件访问,能识别可移动介质复制行为;通过监控多文件写入共享能发现共享文件污染行为等。

2.9K20

ftp 命令详解_ftp连接命令

如果没有指定目录,将使用远程计算机中的当前工作列表。...local-file指定要存储列表的本地文件,如果没有指定,输出将显示屏幕上 12、ftp>disconnect 远程计算机断开,保留ftp提示 13、ftp>get 使用当前文件转换类型将远程文件复制本地计算机...如果没有指定目录,将使用远程计算机中的当前工作目录。 local-file 指定要存储列表的本地文件。如果没有指定,输出将显示屏幕上。...必须指定 remote-files; 请键入- 使用远程计算机上的当前工作目录。 local-file 指定要存储列表的本地文件。请键入 – 以屏幕上显示列表。...24.FTP >mput 使用当前文件传送类型将本地文件复制远程计算机上。

8.8K20

我所了解的内网渗透 - 内网渗透知识大总结

用户申请票证授予服务(TGS)票证(TGS-REQ)时向TG提交TGT.DC打开TGT验证PAC校验 - 如果DC可以打开票证和校验签出,则TGT =有效.TGT中的数据被有效地复制来创建TGS...p=2398 活动目录数据库(NTDS.DIT) Active Directory域数据库存储ntds.dit文件中(默认存储c:WindowsNTDS中,AD数据库是Jet数据库引擎,它使用提供数据存储索引服务的可扩展存储引擎...获取系统SAM文件使用VSS卷影副本(通过WMI或PowerShell的远程处理)远程提取NTDS.DIT 窗口有一个名为WMI的内置管理组件,支持远程执行(需要管理员权限).WMIC是远程计算机上执行命令的...Invoke-NinaCopy是一个PowerShell函数,它可以利用PowerShell远程处理(必须在目标DC上启用PowerShell远程处理),远程计算机复制文件(即使文件已锁定,可直接访问文件...使用Mimikatz的DCSync相应的权限,攻击者可以通过网络域控制器中提取密码散列以及以前的密码散列,而无需交互式登录或复制Active Directory数据库文件(ntds.dit) 运行DCSync

4.2K50

常用DOS命令汇总

内部命令是随每次启动的COMMAND.COM装入常驻内存,而外部命令是一条单独的可执行文件操作时要记住的是,内部命令在任何时候都可以使用。...CMD外部命令 (调用其它程序来实现对对象的操作) 外部命令实际上是一个DOS应用程序,通过执行存储于外部(盘)的程序完成其功能,能够使用户的操作更加方便深入。...chdir 显示当前目录的名称或将其更改。 color 设置默认控制台前景背景颜色。 chkdsk 检查磁盘显示状态报告。 comp 比较两个或两套文件的内容。...SHUTDOWN 让机器本地远程正确关闭。 GRAFTABL 启用Windows图形模式显示扩展字符集。 sort 将输入排序。 help 提供Windows命令的帮助信息。...wmic 交互命令外壳里显示WMI信息。 verify 告诉Windows验证文件是否正确写入磁盘。 xcopy 复制文件目录树。 ver 显示Windows的版本。

2.8K10
领券