开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何在powershell脚本中的方法调用后刷新wmi对象的属性

在PowerShell脚本中，可以通过以下步骤来刷新WMI对象的属性：

首先，确保已经创建了WMI对象并调用了相应的方法。例如，可以使用Get-WmiObject命令获取WMI对象，并使用Invoke-WmiMethod命令调用方法。
在方法调用后，可以使用Get-WmiObject命令再次获取WMI对象，并将其存储在一个变量中。例如，可以使用以下命令获取WMI对象并存储在$wmiObject变量中：
在方法调用后，可以使用Get-WmiObject命令再次获取WMI对象，并将其存储在一个变量中。例如，可以使用以下命令获取WMI对象并存储在$wmiObject变量中：
接下来，可以使用Refresh方法来刷新WMI对象的属性。例如，可以使用以下命令刷新$wmiObject变量中的属性：
接下来，可以使用Refresh方法来刷新WMI对象的属性。例如，可以使用以下命令刷新$wmiObject变量中的属性：

刷新后，WMI对象的属性将会更新为最新的值。可以通过访问相应的属性来获取更新后的值。

需要注意的是，刷新WMI对象的属性可能会涉及到权限问题。在执行脚本时，确保具有足够的权限来访问和操作WMI对象。

关于PowerShell、WMI对象和相关方法的更多信息，可以参考腾讯云的文档和资源：

PowerShell官方文档：https://docs.microsoft.com/powershell/
WMI对象概念和分类：https://docs.microsoft.com/windows/win32/wmisdk/wmi-start-page
PowerShell中的WMI操作：https://docs.microsoft.com/powershell/scripting/samples/working-with-wmi-objects?view=powershell-7.1
腾讯云相关产品和服务：请参考腾讯云官方网站或联系腾讯云客服获取更多信息。

相关搜索:在Vue js中强制方法调用后，如何从父对象获取更新的属性？如何在Javascript中创建对象和改变其属性的方法？如何在powershell脚本中获取对象的键和值的数组？如何在powershell脚本中读取属性文件的值如何在Python中访问一个对象的方法/属性以在另一个对象中使用？如何在React Hooks中访问对象内部的方法中的对象属性如何在一个方法中更改不同对象的相同属性？具有多个增量的Switch语句- C++JS拆分变量如何从p标记中提取信息？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

再探勒索病毒之删除卷影副本的方法

勒索软件作者的最新方法是直接从他们的代码（或脚本）中调用删除影子副本。而PowerShell命令则受到勒索软件的青睐，在一行简单的代码中列举并删除所有影子副本的实例。...与其使用已知的主机进程作为PowerShell核心，不如使用.NET框架从自己的进程中执行PowerShell脚本。比如UnmanagedPowerShell和SharpPick。...调用COM对象 WMI可以通过COM来编程使用，而不是命令行工具或PowerShell，正如我们前面提到的，VSS架构本身就是基于COM的，所以可以直接使用更直接的方法来操作这些对象。...5.打开备份卷的句柄（即C:，影子副本属性中的 “原始卷”）。...查询影子副本属性可以使用我们之前介绍的工具（vssadmin、WMI和COM对象）。步骤1-4是可选的，但要记住，它们保证了程序的有效性，跳过它们可能会导致失败或意外的结果。 ?

2.9K4 0

Windows WMI 详解（一）

tasklist //打开任务管理器8）除了WIN32_Process属性之外还有很多属性，如需查询更多的WMI属性，我们可以通过Powershell中的命令来进行查看。...Powershell是windows下功能很强大的脚本语言，其内部包含了及其丰富与WMI进行交互的功能。9）通过Powershell与WMI进行更多的交互，如图1-7所示。...powershell //切换到Powershell10）若要通过Powershell查看当前系统中所有属性可以执行如下命令操作，执行完毕后如图1-8所示。...1.PowerShellPowerShell是Windows操作系统下非常强大的脚本语言，可以通过PowerShell管理Windows系统中的所有功能。...WMI资源管理器允许用户浏览完整的WMI管理类集、对象及其属性，浏览远程计算机上的对象和设置，以及执行任何WQL查询和查看结果集6.WSHVBScript和JScript是Microsoft提供的两种WSH

7241 0

技术分享-持久性-WMI事件订阅

然而，各种框架，如 Metasploit、Empire、PoshC2、PowerSploit 和多个 PowerShell 脚本和 C# 工具可用于自动化此技术，为代码执行提供不同的触发器和各种选项。...PowerShell PowerShell 包含可以查询 WMI 对象并将信息检索回控制台的 cmdlet。以下命令可用于验证是否已创建任意事件以及恶意负载/命令是否存储在 WMI 存储库中。...脚本的集合，其中包含用于通过 WMI 进行持久性的 PowerShell 脚本。...Rahmat Nurfauzi开发了一个 PowerShell 脚本 ( WMI-Persistence )，它默认使用regsvr32方法执行任意命令，以便从远程服务器运行任意脚本。 ....该脚本使用 WMI 存储库来存储恶意命令，该命令将执行任意脚本、可执行文件或任何其他带有参数的命令。以下函数将检索所有活动的 WMI 事件对象。

2.5K1 0

粘滞键项权限维持

之后在目标主机中连续五次shift即可执行SYSTEM权限的命令行，这在RDP远程登录用户密码已被修改的情况下很有用~ ?.../invoke_wmi_debugger (Empire: powershell/lateral_movement/invoke_wmi_debugger) > info (Empire: powershell.../invoke_wmi_debugger) > set TargetBinary sethc.exe (Empire: powershell/lateral_movement/invoke_wmi_debugger...Powershell 粘性键持久性技术是众所周知的，一些攻击者者在网络攻击期间也常常使用它，除了上述的Metasploit和Empire之外，我们还可以使用脚本来自动执行此方法，Preston Thornburg...编写了以下PowerShell脚本，该脚本可以通过修改注册表来实现持久性 $registryPath = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion

1.2K2 0

狩猎二进制重命名

在此示例中，利用实时“外部” WMI 事件触发器进行进程执行监控，从所有执行的进程中收集进程 ID。Win32_Process 的查询可以进一步提供有关进程的元数据，收集 PE 属性便于检测。...在我自己的测试中，非常短暂的命令（如重命名命令 cdm /c echo ）无法生成WMI数据，在本地ping事件记录中稍有延迟。...我提供了一个带有卸载说明的 Powershell 安装脚本，支持 Powershell 2.0 及以上。...如正在使用的 pe.versioninfo 的 InternalName 属性： ?...作为目标检测的一部分，围绕性能的其他优化也可以是针对特定感兴趣的位置的查询。要记住使用 Powershell 方法利用 Windows API。

1.3K2 0

Windows维权之粘滞键项维权

window Vista以上的操作系统中修改sethc会提示需要trustedinstaller权限，trustedinstaller是一个安全机制，即系统的最高权限，权限比administrator管理员高.../invoke_wmi_debugger(Empire: powershell/lateral_movement/invoke_wmi_debugger) > info(Empire: powershell...invoke_wmi_debugger) > set TargetBinary sethc.exe(Empire: powershell/lateral_movement/invoke_wmi_debugger...(放大镜Win + U启动再选择）之后在目标主机上按5次shift即可触发后门代理(中间会有一个弹窗迅速闪过，用于执行命令，笔者也未捕获到)之后在empire中成功反弹后门代理：Powershell粘性键持久性技术是众所周知的...，一些攻击者者在网络攻击期间也常常使用它，除了上述的Metasploit和Empire之外，我们还可以使用脚本来自动执行此方法，Preston Thornburg编写了以下PowerShell脚本，该脚本可以通过修改注册表来实现持久性

2541 0

内网渗透基石篇——权限维持分析

因为后门可能允许一个普通的、未经授权的用户控制计算机，所以攻击者经常使用后门来控制服务器。...WMi型后门 WMI型后门只能由具有管理员权限的用户运行。WMI型后门通常是用PowerShell扫描的可以直接从新的WMI属性中读取和执行后门代码、给代码能。...通过这种方法，攻击者可以在系统中安装一个具有持久性的后门，且不会在系统中门外的任何文件。WMI 型后使用了 WMI 的两个特征，即无文件和无进程。...其基本原理为：将代码加密存储于WMI中，实现无文件；当设定的条件被满足时，系统将自动启动PowerShell进程去执行后门程序，执行后，进程将会消失，实现无进程。...3.验证环境进入目标机器上，验证wmi 在powershell中直接输入下面的命令结果中可以看到 CommandLineTemlate中的内容包含 powershell.exe Get-WMIObject

1.3K2 0

初识(fileless malware)无文件非恶意软件

简介 1）、Powershell 是一个跨平台的开源的自动化和管理配置框架 2）、Powershell 基于.NET，由命令行 shell 和脚本语言组成 3）、Powershell 被允许完全访问诸多...windows 功能，如 WMI、COM 对象以及其他管理功能（功能齐全，因此也被广泛用于合法工作中） 4）、Powershell 能够从内存执行paylaod（这也是 powershell 能够被用于无文件攻击的重要原因...2）、WMI 提供有关本地或远程计算机状态的信息，并且可以用于配置安全设置，例如系统属性，用户组，调度进程或禁用错误日志记录 3）、WMI 的一个重要功能是能够使用 DCOM 或 WinRM 协议与远程计算机的...、wmi、，NET 等目前也都已经是各大安全厂商的重点查杀对象，但是由于无文件、在内存执行、合法等特性，查杀依然还是很困难，简单的变形往往都能绕过某些针对特征的查杀不同AV对LOLBins的查杀力度不同...实际一点的做法是使用 Powershell 提供的新日志记录功能分析脚本，并在可能的情况下对所需的脚本进行数字签名。但是这是一个很庞大的工作量，需要一个自动的脚本来实现。

1.2K1 0

WMI 攻击手法研究 – 探索命名空间、类和方法 (第二部分)

文章目录[隐藏] 命名空间类列出类 2.2 获取类 2.3 删除类实例方法 3.1 列出方法 3.2 使用方法 4 设置对象属性 5 结论本篇文章是 WMI 攻击手法研究的第二篇，主要研究 WMI...name="lsass.exe"' 现在我们知道在 WMI 中列出、获取和过滤类的实例，让我们看看在 WMI 中删除实例是如何工作的。...方法方法可操作 WMI 对象，如果向上滚动到我们列出所有可用类的位置，你会注意到一个名为 Methods 的列，其中列出了可用的方法。...view=powershell-5.1#parameters 3.2 使用方法 Invoke-WmiMethod (WMI) 和 Invoke-CimMethod (CIM cmdlet) 允许我们使用特定类的方法...但是，重要的是要记住实例应该是可写的。通过编写一些脚本，我们可以编写一个获取类的所有可写属性的方法。

1.5K2 1

权限维持分析及防御

WMI中，达到所谓的无文件。...清理WMI后门的方法：删除自动运行列表中的恶意WMI条目使用Get-WMIObject命令删除与WMI持久化相关的组件二、WEB后门 WEB后门俗称WebShell 1、Nishang下的WebShell...Nishang是针对PowerShell的渗透测试工具集成了框架、脚本（包括下载和执行、键盘记录、DNS、延时命令等脚本）和各种Payload 存在ASPX的“大马”在\nishang\Antak-WebShell...主要用来实现Windows的身份认证功能，如NTLM、Kerberos等 API接口是SSPI 如果获得了网络中目标机器的System权限，可以使用该方法进行持久化操作： LSA（Local Security...如果获取了域管理员权限，可以将SID History作为实现持久化的方法（1）方法将Administrator的SID添加到恶意用户test的SID History属性中打开—个具有域管理员权限的命令行窗口

9721 0

WMI ——重写版

类包含属性（Property）和方法（Method)。 WMI支持Schema的概念。Schema 是描述特定管理环境的一组类。...WMI Eventing ---- WMI 事件订阅是订阅某些系统事件的方法。...甚至略过了非常多的内容，如细节指出有误请务必指出。...进行 Persistence 的核心逻辑，很容易找到以下写好的Powershell 脚本： https://github.com/n0pe-sled/WMI-Persistence/blob/master...= & $Payload $Output = [Management.Automation.PSSerializer]::Serialize($Result, 5) #查阅MSDN，发现这是一种序列化对象的方法

2K1 0

利用 RDPWRAP 做 RDP 劫持的威胁检测

它的核心功能是利用 JavaScript 调用对象还原序列化（还原到内存）和从内存载入一个任意的 .NET v2/3.5 程序（脚本用 base64 编码）然后创建远程线程去执行。...或者 SBW/SW COM 对象的文档在这篇文章中，我们将讨论如何检测攻击者使用的两个方法来绕过基于宏的 office 恶意文件的现有标准/已知检测。...方法一：WMI macro 调用 WMI 生成一个新的进程，它能改变执行流，让 winword.exe 生成 cmd.exe 变成让 wmiprvse.exe 来生成 cmd.exe。...在 macro 执行过程中，winword.exe 会载入 4 个 WMI 相关模块，这些模块并不常用，所以可以用来检测这种技术。...COM 调用后，svchost.exe 承载的 DCOMLaunch 服务会生成一个涉及 ShellBrowserWindows CLSID 的具有命令行属性的 rundll32.exe 实例： ?

3.1K1 0

WMI持久性后门(powershell）(水文)

3.0.使用wmiclass创建 WMI 事件订阅创建 WMI 事件订阅的第一种方法是利用 wmiclass 类型加速器并使用 CreateInstance() 方法。...最后，我们需要将对象保存到 WMI 存储库中。...Stop-Service wuauserv -Verbose 4.0.使用 Set-WMIInstance创建 WMI 事件订阅此方法使用 –Arguments 参数，该参数接受将用于定义每个实例及其属性的哈希表...事件过滤器和两个 WMI事件Consumer，Consumer启动 base64 编码的 PowerShell 命令的命令行，然后加载存储在 Windows 注册表中的大型 PowerShell 脚本。...$WY79ad')) | iex 最后，脚本将加密的有效负载存储在 Windows 注册表中，在样本中，攻击者似乎对每个目标使用不同的注册表位置。

1.2K1 0

windows权限维持(二)

注册表类：普通注册表后门在一般用户权限下，通常是将要执行的后门程序或脚本路径填写到如下注册表的键值中HKCU\Software\Microsoft\Windows\CurrentVersion\Run...Logon Scripts是优先于很多杀毒软件启动（部分杀毒是优先于他启动）的，所以可以通过这种方式将powershell命令写到bat脚本中，达到免杀隐藏启动的效果。...wmi执行后门技术 WMI可以描述为一组管理Windows系统的方法和功能。我们可以把它当作API来与Windows系统进行相互交流。...WMI在渗透测试中的价值在于它不需要下载和安装，因为WMI是Windows系统自带功能。而且整个运行过程都在计算机内存中发生，不会留下任何痕迹。...版本的也可以直接使用别人写好的脚本：https://github.com/n0pe-sled/WMI-Persistence/blob/master/WMI-Persistence.ps1 当然以下工具都具有该功能

1.5K2 0

WMI利用（权限维持）

相关文章：WMI讲解(是什么，做什么，为什么) WMI利用(横向移动) 什么是WMI事件 WMI事件，即特定对象的属性发生改变时发出的通知，其中包括增加、修改、删除三种类型。...WMI事件中的事件消费者可以分为临时和永久两类，临时的事件消费者只在其运行期间关心特定事件并进行处理，永久消费者作为类的实例注册在WMI命名空间中，一直有效到它被注销。...$EventFilterArgs 中的 Name ###修改筛选器名称。 Query ###修改其中WQL语句，以下脚本中可不用修改，但TimerID需和$TimerArgs中的参数匹配。...WQL语句，也可以指定WITHIN来指定间隔时间，以秒为单位，但是需提前指定TimerID，可以自行修改PS1脚本进行完善，将添加后门、删除后门的操作集成到一个脚本内完成，同时免杀的操作可以针对性的进行混淆或编码的操作...SELECT * FROM __TimerEvent WITHIN 10 WHERE TimerID = 'Trigger' 上线C2 注意：将上述Powershell脚本替换其执行的Payload进行本地执行

1.8K2 1

使用Powershell 获取内网服务器信息和状态

我们可能首先想到的，也是使用不同的Module中的不同的命令，收集诸如 CPU，内存，磁盘，系统等不同的信息，其实在Powershell中，有两种方法去完成信息收集的过程。 1....而 CIM 标准在 Windows 平台实现的方法就是 WMI (Windows Management Instrumentation)。这也就是说通过 WMI，管理员可以获取系统中不同组件的信息。...在没有 Powershell 的年代，使用 VBScript 编写脚本时获取系统信息时，WMI 是不二之选；从 Windows Server 2008 到 Windows Server 2016 ，微软一直致力不断完善...，那个年代想在 Powershell 中获取网卡信息，就得靠 Powershell 调用 WMI 类来完成了。...你可以在命令行中运行 wmimgmt.msc 命令，打开WMI管理工具后，右键选择 WMI控制(本地)--属性，在高级选项卡中，选择更改后，就能查看如上截图的 WMI 命名空间，最上层的名称为 Root

2.3K4 0

通过逆向分析防御挖矿病毒「建议收藏」

金山毒霸安全实验室写的病毒分析 http://www.freebuf.com/column/149286.html 通过文章得知，病毒无落地文件，持久化在WMI属性中，启动靠WMI事件侦听器。...着重说下和之前金山文章中不同点。 1、挖矿程序清除了DOS MZ头，增加了-B参数用于在后台执行。 2、WMI远程执行已修复。 3、远程执行时不再释放y1.bat，现在已经直接修改为命令。...使用MS17-010 通过WMI远程执行需要目标机器的登陆凭据，在病毒中查找获取凭据的代码。通过mimikaz获取明文密码和NTLM Hash。...（禁用后XP/2003无法使用共享，Win7开始使用SMBv2） WMI远程调用 1、组件服务控制台中禁用administrators的远程权限杜绝minikaz获取Windows明文密码（Windows...我自己在虚拟机中测试时，直接在Powershell内执行启动挖矿脚本，火绒才弹出“隐蔽执行”的提示框。将病毒上传至VirusTotal也能看到大部分杀毒软件无法查杀。

9682 0

WMI讲解(是什么，做什么，为什么)

WMI的讲解(是什么，做什么，为什么) 讲在前面作者：pingpig@深蓝攻防实验室 WMI在笔者所参与的项目中发现目前攻防中利用依旧非常频繁，尤其在横向移动中，利用wmic或者powershell...COM组件、Provider方法等专业名词可不做深度理解，只需要知道是WMI这个庞大工具的零件罢了，此文不足之处，望读者海涵....这些WMI的使用者，可以查询、枚举数据，也可以运行Provider的方法，还有WMI事件通知。当然这些数据操作都是要有相应的Provider来提供。...- 如果请求的是一个静态数据，WMI将从WMI存储库中查找数据并返回； - 如果请求的是一个动态数据，比如一个托管对象的当前内存情况，WMI服务将请求传递给已经在WMI服务中注册的相应的WMI提供者。...命名空间为SecurityCenter 注意：这里Powershell操作WMI的对象使用的是内置模块Get-WmiObject，以及查询的类为Win32_Service类，Win32_Service

1.2K1 0

使用 WMI 进行诊断WCF

WMI 是基于 Web 的企业管理 (WBEM) 标准的 Microsoft 实现,WCF 公开服务的属性，如地址、绑定、行为和侦听器。您可以在应用程序的配置文件中激活内置 WMI 提供程序。...这可以通过 system.ServiceModel element一节中的 Element的 wmiProviderEnabled 属性实现，如以下配置示例所示。...wmiProviderEnabled="true" performanceCounters="ServiceOnly"/> … 此配置项公开 WMI...这里补充一点是还可以通过PowerShell脚本进行访问: PS C:\Windows\System32> get-wmiobject endpoint -n root\ServiceModel |...ft name Remote Management: A Sneak Peek at Windows PowerShell 2.0

5918 0

红队技巧-常规横向手法

，用于管理本地或远程的Windows系统，攻击者使用wmi来进行攻击，但Windows系统默认不会再日志中记录这些操作，可以做到无日志，攻击脚本无需写入到磁盘，增加了隐蔽性。...，通过它可以访问、配置、管理和监视几乎所有的Windows资源，比如用户可以在远程计算机器上启动一个进程；设定一个在特WMI允许脚本语言（例如VBScript或Windows PowerShell）在本地和远程管理...)（组件对象模型）的扩展，它允许应用程序实例化和访问远程计算机上COM对象的属性和方法，就像使用基于DCERPC的DCOM协议在本地计算机上的对象一样，有关每个COM（和DCOM）对象的标识，实现和配置的信息存储在注册表中...在powershell中我们可以使用 get-CimInstance来列出本地COM程序列表远程DCOM对象的实例表现如下：客户端计算机从远程计算机请求实例化由CLSID表示的对象。...在大多数情况下，新过程是在与DCOM通信关联的会话中创建的。然后，客户端可以访问新创建的对象的成员和方法。

2K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭