/cymothoa -s 0 -p -y 安装成功后使用nc等工具连接设置的端口即可 6、WMI后门 WMI后门需要管理员权限,特征是无文件和无进程,将代码加密存储于...,如果迁移后用户的SID改变了,系统会将其原来的SID添加到迁移后用户的SID History属性中,使迁移后的用户保持原有权限、能够访问其原来可以访问的资源 如果获取了域管理员权限,可以将SID History...作为实现持久化的方法 (1)方法 将Administrator的SID添加到恶意用户test的SID History属性中 打开—个具有域管理员权限的命令行窗口 //test用户的SID History...: 经常查看域用户中SID为500的用户 完成域迁移工作后,对有相同SID History属性的用户进行检查 定期检查ID为4765和4766的日志:4765为将SID History属性添加到用户的日志...,4766为将SID History属性添加到用户失败的日志 4、Golden Ticket & Silver Ticket 可参见:一文了解黄金票据和白银票据 5、Skeleton Key Skeleton
WMI Attacks – VM/Sandbox Detection ---- SELECT * FROM Win32_ComputerSystem WHERE TotalPhysicalMemory...Attacks – VM/Sandbox Detection (VMware) ---- 如果VM/Sandbox 是VMware 的产品,可以从Vmware的一些特征查询: SELECT * FROM...EncodedOutput 解码,进行反序列化,笔者测试失败,遇到错误,有成功运行的师傅麻烦指教下。...`,默认 Filter 是出现4625事件,4625事件是登录失败( runas 输入错误账户密码即可导致该事件 ) * Empire 中 `persistence/elevated/wmi`,同样是...E5%91%BD%E4%BB%A4%E8%A7%A3%E6%9E%90%E4%B8%8E% E5%AE%9E%E4%BE%8B.html) > 完美的介绍了wmic命令的各种应用,用户管理、组管理、加域、
然后将刚下载的exploit脚本中的exploit变量替换为生成的shell.ps1脚本中的内容。...使用mimikatz,可以将SID History属性添加到域中任意用户的SID History属性中。在实战中,如果获得了域管理员权限,则可以将SID History作为实现持久化的方法。...启动mimikatz,然后执行如下命令,将域管理员Administrator的SID添加到恶意域用户 whoami 的SID History属性中。...privilege::debugsid::patchsid::add /sam:whoami /new:Administrator //将Administrator的SID添加到whoami的SID...SID History属性;mimikatz在2.1版本后,将 misc:addsid 模块添加到了 sid:add 模块下。
temp\cookie\stinger_server.exe 0.0.0.0 然后将 stinger_client 上传到 vps ,执行如下命令 ....: 然后目标运行 exe 马,直接上线到 CobaltStrike: 内网信息搜集 通过 nbtscan 对当前内网进行信息搜集发现当前内网是存在域环境的: 由于当前已经是 administrator...了,且是 Windows 2008 的机器,可以直接抓明文: 抓到了本地管理员和域管明文还有一些域用户的明文!...既然域控是 192.168.0.2 这台,那么直接 WMI 横向把: shell cscript c:\windows\temp\WMIHACKER.vbs /cmd 192.168.0.2 BExxxx...我们还可以用系统自带的 WMI 来执行命令,只不过命令不回显: wmic /node:192.168.0.2 /user:BEHxxxx\administrator /password:vm$xxxx
将这一点与从远程、未加入域的 Windows 机器在目标域内的用户上下文中创建进程和关联令牌的能力相结合,可以利用本机 Windows 功能将更多现有工具代理到受损的网络。...VM,它使用 Proxifier 通过 SOCKS 代理路由我们的工具流量,并结合runas.exe或 mimikatz 在适当的远程域用户上下文中执行工具。...例如,我们将: 使用 `runas` 在域用户的上下文中创建一个新进程,该域用户在目标工作站上具有本地管理员权限,可从受感染的机器路由 执行SharpWMI枚举目标工作站上的环境变量 使用Sysinternal...这些工具将从Windows Attacker Machine一个未加入域的远程 Windows VM 执行和代理。Cobalt Strike 的信标正在运行WORKSTATIONA。...如本节所述,除非选择了适当的 Proxifier 选项,否则这将失败Proxifier Configuration。
攻击手法研究系列文章第四篇,将更多地关注信息收集和枚举。...这对于 VM 检测很有用,例如,如果逻辑处理器的数量小于 4 并且可用 RAM 低于 2 Gigs,那么 VM 的可能性很高。...对于下面这个示例,将仅打印由 LocalSystem (或 NT Authority\System) 启动的服务。...这将包括本地域、当前域、受信任域和受信任群: 13 系统机密 当涉及到侦察时,系统机密再次成为枚举的有用信息。如果在系统上有足够的权限,那么就可以创建磁盘的卷影副本并尝试从那里提取机密。...这就是现在的人们,我将在我们的下一篇文章中与您见面,将重点介绍通过 WMI 进行的 Active Directory 枚举。Sláinte! 声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。
然后将 stinger_client 上传到 vps ,执行如下命令: ....但是发现失败了~到这里我回头使用 DNS 上线到 Cobaltstrike 也失败了,好家伙有毒~ 没关系~我们不用这玩意也能继续搞打内网!...WMI 横向移动拿到域控 为了方便,我直接把目标 lsass 进程 dump 下来,然后本地解出明文密码: ? 成功抓到用户的明文(由于当前机器是 Windows 2003)所以可以直接抓明文: ?...然后我对当前机器进行 IPC 信息搜集的时候发现,发现当前机器已经和域控有共享了: ? 随后可以直接访问到域控: ?...至此当前域已经拿下了,如果想要执行在域控机器上执行命令到话,可以直接用 wmi 横向: cscript c:\bea\wmi.vbs /cmd 192.168.1.34 xxx\administrator
如果目标加入了域,则在域服务器不可用的情况下会报“当前没有可用的登录服务器处理请求”的错误,此时局域网共享也将失效。...在“启动权限”对话框中,将你要访问的用户或组添加到“组或用户名称”列表中。在“启动权限”对话框中,在“组或用户名称”框内选择您的用户和组。...在“用户权限”下的“允许”栏中,选择“远程启动”,然后单击“确定”。 5。 如果访问的目标机运行的是Windows XP Pro 系统,需要确保远程登录方式不是来宾帐户的方式。...如果能够正常连接,则监视器也将正常。 4, 如果返回:“拒绝访问”。...(连接域控会出现此情况) 错误号2242,此用户的密码已经过期 : 目标有帐号策略,强制定期要求更改密码。 5, 如果返回:“没有发现指定的此对象导出者”。
本文中,我 们将主要说明如何通过 Powershell 收集系统信息和生成报告。...服务器中的虚拟机信息 Get-VM 获取活动目录域服务中的用户帐号信息 Get-ADUser 获取 DHCP 服务器中,IPv4 作用域信息 Get-DHCPServerv4Scope ..........我们可以使用以下两条命令就轻松搞定 Get-Module 查找当前计算机能够使用的 Module 清单 Get-Command -Module #### -Verb Get 在 Module 这个参数后,将...所以接下来的问题就是 如何通过 WMI 类获取网卡信息; Powershell 如何调用 WMI 类。 WMI 类的组织形式,是一种层级结构,叫做命名空间,如下图 ?...你可以在命令行中运行 wmimgmt.msc 命令,打开WMI管理工具后,右键选择 WMI控制(本地)--属性,在 高级选项卡中,选择更改后,就能查看如上截图的 WMI 命名空间,最上层的名称为 Root
既然我们拿到了域管理员的权限,我们可以进一步扩大战果,将后门上传到域控上 copy hack.exe \\winser2016\c$ ?...然后在msf设置监听,然后在域控创建服务启动后门 //在域控上创建服务启动木马 //sc \\[computer's name.domain name] create [service name] binpath...CommandCOMSPEC - 默认=Enabled:将%COMSPEC% /C预先添加到命令。 Service - 默认 = 20字符(随机):要在目标上创建和删除的服务名称。...如果命令未指定,则该函数将仅检查用户名和哈希是否可以访问目标上的WMI或SCM。...将%COMSPEC% /C预先添加到命令。 Service - 默认 = 20字符(随机):仅支持SMBExec。要在目标上创建和删除的服务名称。 SMB1 - (Switch) 强制SMB1。
编译文件时添加到 WMI 存储库 (OBJECTS.DATA) 的类和类实例(mofcomp.exe 可以编译 MOF 文件,它是 Windows 的一部分)。...该脚本使用 WMI 存储库来存储恶意命令,该命令将执行任意脚本、可执行文件或任何其他带有参数的命令。以下函数将检索所有活动的 WMI 事件对象。...事件,并自动将修改的 WMI 对象的结果返回到控制台屏幕上以供验证。...,该命令可用于使用错误密码通过 SMB 登录主机,以生成指定的失败登录请求。...当命令执行时,将生成失败的登录事件,该事件将触发有效负载并打开一个 Meterpreter 会话。
1118 串行设备初始化失败。将卸载串行驱动程序。 1119 无法打开正与其他设备共享中断请求 (IRQ) 的设备。至少有一个使用该 IRQ 的设备已经打开。...为新密码提供的值不符合字符域的长度、复杂性或历史要求。 1326 登录失败: 用户名未知或密码错误。 1327 登录失败: 用户帐户限制。 1328 登录失败: 违反帐户登录时间限制。...1353 域处于执行安全操作的错误状态。 1354 该操作只能在域的主域控制器中执行。 1355 指定的域不存在或联系不上。 1356 指定的域已经存在。...1385 登录失败: 用户在本计算机上没有被授与所需注册类型。 1386 经交叉加密的密码必须更改用户密码。 1387 成员不存在,因此无法将其添加到本地组或从中删除。...1788 建立主域和受托域间的信任关系失败。 1789 建立工作站和主域间的信任关系失败。 1790 网络登录失败。 1791 该线程执行过程中已经进行了远程过程调用。
/administrator@192.168.3.144 三、利用WMI进行横向渗透 WMI简介 WMI的全名为(Windows Management Instrumentation)由于安全厂商开始将...由此,越来越多的APT开始使用WMI进行攻击,利用WMI可以进行信息收集、探测、反病毒、虚拟机检测、命令执行、权限持久化等操作。 **作用:**Windows操作系统都支持WMI。...最终结果 四、IPC+Windows服务来进行横向移动 利用sc横向渗透 使用Windows服务来进行横向移动有点类似利用计划任务进行横向移动,核心是将木马文件传入目标机中,然后通过SC命令创建一个Windows...将adduser.bat发送至域控copy adduser.bat \\192.168.3.144\c$ at \\192.168.1.144 20:05 c:\adduser.bat 设置计划任务...说明在这个环境中schtasks无法用来横向渗透 由于这里没有成功所以推荐大家参考这篇文章:https://cloud.tencent.com/developer/article/1743842 建立IPC失败的原因
本次红队环境主要Access Token利用、 WMI利用、域漏洞利用SMB relay , EWS relay , PTT(PTC) , MS14-068 ,GPP ,SPN利用、黄金票据/白 银票据...WMI利用 5. 网页代理,二层代理,特殊协议代理(DNS , ICMP) 6. 域内信息收集 7....域漏洞利用:SMB relay , EWS relay , PTT(PTC) , MS14-068 ,GPP ,SPN利用 8. 域凭证收集 9....:de1ay\Administrator 1qaz@WSX 登录进去如果要修改密码,统一修改为:Aa@123456 配置网络: 将net段设置为自动获取IP 然后测试: 配置PC 启动并检查网络: 将...*永恒之蓝* 失败。 搞weblogic weblogic漏洞有点多,我们先收集一下 借助:https://github.com/dr0op/WeblogicScan 按照使用说明操作即可。
本来是希望将《WMI技术介绍和应用》系列博文写的像WMI百科全书般,但是貌似对这个技术感兴趣的同学并不多,所以我决定对部分知识点点到为止,有需求的同学可以查询MSDN相关类的说明即可。...本文将罗列一些可能使用到的一些知识点。如果你发现你期望查询的硬件信息在本文中没有写出来,请参看MSDN的《Computer System Hardware Classes》中相关的类。...然后我们通过该ID,查询该硬盘信息。 如何使用WMI查询系统盘所在硬盘的硬盘序列号?...如果想排除VM虚拟出来的网卡,可以通过厂商名字限制。 查询CPU信息 如何使用WMI查询CPU的序列号? SELECT ProcessorId FROM Win32_Processor ?...至此,使用WMI查询的内容就讲完了。之后我将讲解如何使用WMI监听事件,这也是个非常强大和有趣的功能,我们拭目以待吧。 工程源码见《WMI技术介绍和应用——WMI概述》结尾。
3.然后执行 ? 六、 WMI的使用 1 基本命令 ? ? ?...原理: 整个过程是先调用WMI通过账号密码或者NTLM认证(WCE注入)连接到远程计算机,然后如果提供了账号密码,则用这个账号密码建立一个到目标的IPC连接。...随后WMI会建立一个共享文件夹,用于远程读取命令执行结果。 当用户输入命令时,WMI创建进程执行该命令,然后把结果输出到文件,这个文件位于之前创建的共享文件夹中。...最后,通过FSO组件访问远程共享文件夹中的结果文件,将结果输出。当结果读取完成时,调用WMI执行命令删除结果文件。最后当WMIEXEC退出时,删除文件共享。...,然后在删除结果文件时会出错。
然后我们还可通过实例的属性查看到系统当中不同的信息,同时的 话去调用实例当中为我们提供的不同的方法,去修改系统信息的配置。 1....因此我们可以将WMI看作一个通 用服务或者模型,通过这个模型就可以获取到自己想要的信息。...Guest False 供来宾访问计算机或访问域的内置帐户 WDAGUtilityAccount False 系统为 Windows Defender 应用程序防护方案管理和使用的用户帐户。...- ----------- PS C:\> Invoke-Command -ComputerName guanyu.testLab.com -ScriptBlock {GetLocalUser} 无法将“...请检查名称的拼 写,如果包括路径,请确保路径正确,然后再试一次。
,将晦涩难懂的知识点吃透、理解后用简单的话语将其作用表达清楚,使其读者能够快速的理解并为读者接下来深入理解打好基础,以便在攻防中更好的利用WMI,所以此篇文章笔者使用通俗的话语将WMI表达清楚,在下文中对于基础薄弱的同学对于...而脚本语言则要支持WMI Scripting API,间接与下层通信。 对于.net平台语言,则要使用System.Management域相关功能与下层通信。...当一个应用通过接口向WMI发起请求时,WMI将判断该请求是请求静态数据还是动态数据。...WMI提供者将数据返回给WMI服务,WMI服务再将结果返回给请求的应用。...注意: 在上图中我我们可以发现也可以理解,不论Powershell、VBScript或者其他什么语言,其本质还是使用.NET来访问WMI的类库,都是因为WMI向外暴露的一组API,然后进行管理,Powershell
$的cifs ST票据 导入票据并获得一个wmi的交互式shell 基于资源的约束委派(User)→MAQ=0 前段时间,老外已经研究出了这种利用方式: https://www.tiraniddo.dev...这是因为用户默认没有注册SPN,KDC无法选择正确的密钥来解密,所以在S4U2Self才会失败。...如果将 SPN 添加到bob就能成功从 KDC申请ST票据,这意味着这不是用户帐户本身的问题,而只是 KDC 无法选择正确密钥进行解密。...redteam.lab/dandy' # 导入ST export KRB5CCNAME=administrator@host_dc1.redteam.lab@REDTEAM.LAB.ccache # WMI...由于无法将SMB直接通过LDAP进行中继,所以需要绕过NTLM MIC验证(消息完整性检查),使得攻击者可能在仅有一个普通域账 号的情况下拿到域内最高权限。
可以将本地用户帐户、域用户帐户、计算机帐户和安全组添加到本地组中。但是不能将本地组添加到域组中。 下面我们来看看一些比较常见的本地组与描述。...注:虽然可以将联系人添加到安全组和通讯组中,但不能为联系人分配权限。组中的联系人可以发送电子邮件。...然后选择组的类型、作用域,填上组名。如图所示,我选择的组类型是安全组,组的作用域是全局,组名是测试组。然后确定即可。 此时新建的测试组在xie.com根下。...成员——>添加,如图所示: 然后填入用户名称进行检索,检查名称——>确定。如图所示: 应用——>确定即可将用户添加到组。如图所示: 图形化选择组添加 也可以通过将用户添加到组。...然后输入组名进行检索确定,如图所示: 即可看到将指定用户添加到组成功,如图所示: 命令行添加 执行如下命令将hack用户添加到ceshi_group组中。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
云直播
对象存储
腾讯会议
