Práctico comando wmic post-infiltración
En este artículo, discutiremos cómo utilizar WMIC (Línea de comandos del Instrumental de administración de Windows) en la fase posterior a la explotación del ataque. Una vez que un atacante obtiene una sesión de meterpreter en una PC remota, puede enumerar una gran cantidad de información del sistema y utilizar herramientas de línea de comandos WMI para operaciones más profundas.
Primero, presentaremos cómo obtener la sesión meterpreter de la PC remota. Después de obtener la sesión, también le diremos cómo escalar sus derechos a privilegios de administrador.
Se puede acceder a la línea de comando WMIC a través del CMD de Windows, simplemente ingrese "shell" directamente en el shell de meterpreter. A continuación, echemos un vistazo a los comandos WMIC y el mecanismo de trabajo correspondiente.
El siguiente comando puede ver las opciones globales del comando WMIC. Las opciones globales de WMIC se pueden usar para configurar varias propiedades del entorno WMIC. Al combinar varias opciones y parámetros globales, podemos administrar todo el WMIC. entorno a través del sistema.
Usando las instrucciones del sistema operativo del comando Tonggu WMIC, podemos enumerar una gran cantidad de información sobre el sistema de destino, incluido el nombre de host, el nombre de dominio, el fabricante, el modelo del dispositivo, etc.
También podemos agregar los siguientes filtros para obtener resultados de escaneo más precisos:
Roles: Puede proporcionarnos el rol que desempeña el dispositivo de destino en todo el sistema de red, como por ejemplo una estación de trabajo, servidor o PC personal, etc.
Fabricante: puede proporcionarnos el fabricante y el modelo de dispositivo del sistema de destino, porque los modelos específicos de dispositivos producidos por fabricantes específicos tendrán vulnerabilidades específicas, por lo que podemos usar esta parte de la información para encontrar vulnerabilidades. dispositivos.
UserName: Nos puede devolver el nombre de usuario del sistema. Podemos utilizar esta parte de la información para distinguir quién es el administrador y quién es un usuario común y corriente.
[/format:list]: genera y organiza datos en formato de lista.
Para enumerar los SID, necesitamos usar la opción de grupo de WMIC:
Como se muestra en la siguiente figura, hemos encontrado el nombre de la cuenta. , nombre de dominio, estado de membresía del grupo local, SID y estado correspondiente:
La opción de proceso del comando WMIC puede ayudarnos a crear varios procesos en el sistema del usuario de destino. Esta característica puede ayudarnos a crear puertas traseras u ocupar una gran cantidad de memoria en el sistema de destino:
llamada al proceso wmic create “[Nombre del proceso]”
llamada al proceso wmic create “taskmgr. exe”
Como puede ver en la imagen a continuación, este comando no solo creará un proceso, sino que también le dará una ID de proceso correspondiente, para que podamos modificar la información del proceso según nuestras necesidades.
Nota: Si el proceso crea una ventana como Administrador de tareas y CMD, entonces este comando abrirá esta ventana en el sistema de destino, lo que hará que el usuario de destino dude.
La opción de proceso del comando WMIC también puede ayudarnos a modificar la prioridad del proceso en ejecución en el sistema de destino, lo cual es una función muy útil.
Reducir la prioridad de un proceso puede provocar que una aplicación específica falle, mientras que aumentar la prioridad de un proceso puede incluso provocar que todo el sistema falle.
El comando WMIC también puede ayudarnos a finalizar los procesos que se ejecutan en el sistema de destino:
El siguiente comando puede enumerar los entero Las direcciones de ruta de todos los archivos ejecutables en el sistema:
La opción fsdir del comando WMIC puede extraer información básica sobre el directorio de archivos en el sistema de destino, incluido el método de compresión, fecha de creación y tamaño del archivo, si se puede leer y escribir, si es un archivo del sistema, estado de cifrado y tipo de cifrado, etc.:
La opción de archivo de datos. El comando WMIC puede obtener información básica sobre los archivos en el sistema de destino, incluido el método de compresión, la fecha de creación, el tamaño del archivo, si se puede leer y escribir, si es un archivo del sistema, el estado de cifrado y el tipo de cifrado, etc.:
archivo de datos wmic donde='[Ruta del archivo]' obtener /formato: lista
archivo de datos wmic donde nombre='c:\\windows\\system32\\demo\\demo.txt' get /format:list
WMIC Puede extraer las rutas de todos los archivos importantes del sistema, como el directorio temporal, el directorio win, etc.:
Después de obtener la lista de servicios en ejecución, WMIC También se puede proporcionar el modo de inicio del servicio, como "automático", "manual" y "en ejecución":
La opción sysdrive puede enumerar el nombre, la ruta y el tipo de servicio del controlador Otros datos:
La opción os puede enumerar los últimos tiempo de arranque del sistema de destino, el número de usuarios registrados, el número de procesadores, información de la memoria física/virtual y el tipo de sistema operativo instalado, etc.:
La opción Memcache puede obtener información como el nombre de la memoria caché y el tamaño del bloque:
La opción MemoryChip puede obtener información relacionada con la RAM, como número de serie, etc.:
>
Podemos determinar si el sistema de destino es un sistema operativo host real o una máquina virtual (VMware o Virtual Box) en función de la información devuelta por la opción onboarddevice:
Podemos usar la opción de cuenta de usuario para bloquear cuentas de usuarios locales:
También podemos restringir las operaciones de modificación de contraseñas de los usuarios locales:
Podemos enumerar la información del producto antivirus instalado en el sistema de destino, incluida la ubicación y la versión de instalación:
La opción nteventlog de WMIC El comando también puede limpiar el sistema Después de invadir un sistema, este comando puede ayudarle a ocultar los rastros del ataque:
wmic nteventlog donde filename='[logfilename]' cleareventlog
wmic nteventlog donde nombre de archivo = 'sistema' cleareventlog