下载掌阅APP,畅读海量书库
立即打开
WMI(Windows Management Instrumentation,Windows管理规范)是Windows 2000/XP管理系统的核心,属于管理数据和操作的基础模块。设计WMI的初衷是达到一种通用性,通过WMI操作系统、应用程序等来管理本地或者远程资源。它支持分布式组件对象模型(DCOM)和Windows远程管理(WinRM),用户可通过WMI服务访问、配置、管理和监视Windows所有资源的功能。对于其他的Win32操作系统来讲,WMI是一个非常不错的插件,同时也是测试人员在攻防实战中的一个完美的“无文件攻击”入口途径。
WQL也就是WMI的SQL。WQL的全称是WMI Query Language(Windows管理规范查询语言),主要用于查询WMI的所有托管资源。它的语法与SQL相似,但只能执行数据的查询,不能对类或者实例执行创建、删除、修改等操作。
1.基础语法
1)SELECT代表WQL语句开始。
2)properties代表要查询的属性名称。
3)FROM指定包含SELECT语句中所列出属性的类。
4)class代表要查询的类名称。
5)where clause为可选项,代表要过滤的信息,用来定义搜索范围。
2.查询用例
1)在CMD命令行中执行wbemtest命令进入WMI测试器中,如图1-40所示。
图1-40 执行wbemtest命令进入WMI测试器中
2)在使用之前我们发现需要进行连接,选择默认连接选项即可,如图1-41所示。
3)连接默认的命名空间后可以看到如图1-42所示的内容。
图1-41 选择默认连接选项
图1-42 连接默认的命名空间后看到的内容
4)通过单击“查询”模块,可执行WQL语句查询,如图1-43所示。
图1-43 通过“查询”模块执行WQL语句查询
5)在此输入要执行的WQL语句。
6)上述查询语句将会把当前正在运行的进程的可执行文件中名称包含“cmd”的文件返回到查询结果中。更具体地说,此查询语句将返回WIN32_Process类的每个实例的属性中名称包含“cmd”的属性,如图1-44所示。
图1-44 查询当前正在运行的进程的可执行文件中名称包含“cmd”的文件
7)执行以下命令,从任务管理器中查看,如图1-45所示。
图1-45 从任务管理器中查看
8)除了WIN32_Process属性之外,还有很多属性。如需查询更多的WMI属性,可以使用PowerShell中的命令。PowerShell是Windows下功能强大的脚本语言,包含极其丰富的与WMI进行交互的功能。
9)通过PowerShell与WMI进行更多的交互,如图1-46所示。
图1-46 通过PowerShell与WMI进行更多的交互
10)若要通过PowerShell查看当前系统中的所有属性,可以执行如下命令,执行结果如图1-47所示。
图1-47 通过PowerShell查看当前系统中的所有属性
在WMI交互时有很多客户端,实战中可以根据不同的场景选择已有的客户端进行操作。接下来详细介绍可以用于实战的WMI Client。
1.PowerShell
PowerShell是Windows操作系统下非常强大的脚本语言,可以通过PowerShell管理Windows操作系统中的所有功能。PowerShell支持以WMI和CIM两种命令方式与WMI进行交互,这两种命令方式的不同点在于:WMI命令只能用于DCOM协议,而CIM命令不仅支持DCOM协议,还支持WinRM协议。由此可见,CIM命令在与WMI交互时具有更好的灵活性。以下为PowerShell可与WMI交互的功能。
❑Get-WmiObject
❑Get-CimAssociatedInstance
❑Get-CimClass
❑Get-CimInstance
❑Get-CimSession
❑Set-WmiInstance
❑Set-CimInstance
❑Invoke-WmiMethod
❑Invoke-CimMethod
❑New-CimInstance
❑New-CimSession
❑New-CimSessionOption
❑Register-CimIndicationEvent
❑Register-WmiEvent
❑Remove-CimInstance
❑Remove-WmiObject
❑Remove-CimSession
2.wmic.exe
wmic.exe是一款主要用于与WMI交互的命令行管理工具,它不但可以管理本地计算机,还能够在权限充分的情况下管理域控制器中的其他计算机。WMIC是Windows自带的一个功能,计算机只要支持WMI即可使用WMIC。因功能强大以及在Windows中免安装,WMIC在内网渗透中扮演着重要的角色。
3.WBEMTEST
WBEMTEST是Windows自带的一个与WMI基础结构交互的图形化工具,它支持任何Windows系统,在“运行”窗口中输入wbemtest并单击“确认”按钮即可打开。在弹出的“连接”窗口中选择命名空间(WBEMTEST不会浏览命名空间,需要我们手动选择以连接到指定命名空间),默认选择root\cimv2。这样,通过WBEMTEST工具就可以进行枚举对象实例、查询、创建和修改WMI类与对象等操作。
4.WinRM
WinRM(Windows Remote Management,Windows远程管理)是Windows操作系统的一部分,我们可以以管理员的身份使用该命令。WinRM是WS管理协议的微软实现。WS管理协议是一种基于简单对象访问协议(SOAP)的标准防火墙友好型协议。开启WinRM服务后,占用的端口(默认情况下,WinRM HTTP服务占用5985,HTTPS占用5986)不会被防火墙拦截,因此我们在内网渗透中可以通过WinRM进行横向渗透。
5.Win explorer
Win explorer(Windows资源查看器)是一款图形化查看WMI信息的工具。它与WBEM-TEST类似,不过比WBEMTEST功能更丰富,使用起来更方便。Win explorer允许用户浏览完整的WMI管理类集、对象及其属性,浏览远程计算机上的对象和设置,以及执行任何WQL查询和查看结果集。
6.WSH
VBScript和JScript是微软提供的两种WSH(Windows Script Host)脚本开发语言。这两种脚本开发语言早已过时,但是它们在与WMI交互时仍有很强大的能力。目前市面上已经出现了基于这两种语言开发、使用WMI功能完成基本的命令与控制机制的后门程序。目前只有VBScript和JScript支持调用Event Consumer(事件消费者)接口ActiveScript-EventConsumer(事件消费者组件)来实现无文件写入。
当前,WMI支持两种远程交互协议:DCOM协议和WinRM协议。我们可以通过这两种协议对远程计算机进行对象查询、事件注册及WMI类方法的执行等操作。攻击者要有效利用这两种协议,需要具备一定的特权用户凭据,因此大多数安全厂家通常不会对这两种协议所传输的恶意内容及恶意流量进行审查。这就使得这两种协议对于攻击者有了可利用的空间。接下来分别介绍这两种协议。
1.DCOM
DCOM(分布式组件对象模型)是微软基于COM(组件对象模型)推出的一系列概念和程序接口。通过该技术,在局域网、广域网甚至Internet上不同计算机的对象之间能够进行通信,从而在位置上达到分布性,满足客户和应用的需求。
在了解DCOM之前,我们先简单介绍一下COM技术。COM是微软的一套软件组件接口标准,定义了组件和本地客户端之间互相作用的方式。它使组件和客户端不需要任何中介组件就能相互联系。而DCOM是COM的扩展,使用DCOM可以不受本地限制,通过远程过程调用(RPC)技术实现客户端程序实例化和访问远程计算机的COM对象。
DCOM为分布在网络不同节点的两个COM组件提供了互相操作的基础结构。它增强了COM的分布处理性能,支持多种通信协议,加强了组件之间通信的安全保障。DCOM在组件中的作用为:作为PC间通信的PCI和ISA总线,负责各种组件之间的信息传递。如果没有DCOM,则达不到分布式计算环境的要求。
2.WinRM
WinRM(Windows远程管理)目前已成为Windows建议使用的远程管理协议。WinRM是基于WS管理协议所构建的一种基于SOAP的设备管理协议,它允许使用SOAP通过HTTP(S)远程管理Windows计算机,其后端利用了WMI,我们可以把它看作一个基于HTTP的WMI API。另外,PowerShell Remoting是基于WinRM规范的。当计算机启用了WinRM以后,我们就可以像远程SSH会话一样,通过PowerShell的方式对远程计算机进行管理。在默认情况下,WinRM会监听5985/TCP(HTTP)、5986/TCP(HTTPS)这两个端口中的任意一个,只要其中任意一个端口处于监听状态,都表示WinRM已经配置。
可以通过在PowerShell中使用Test-WSMan函数来验证目标是否已经配置了WinRM。如果Test-WSMan返回了如图1-48所示的信息,则表示目标系统中的WinRM服务处于监听状态。
图1-48 使用Test-WSMan函数来验证目标是否配置了WinRM
1.WMI永久事件订阅组成
(1)事件过滤器
事件过滤器(Event Filter)存储在一个ROOT\subscription:__EventFilter对象的实例里,其主要作用是使用WMI的查询语言来过滤审核特定的事件。一个事件过滤器接收一个WMI事件查询参数,同时可以对内部事件(Intrinsic Event)和外部事件(Extrinsic Event)进行事件查询。
1)内部事件。我们在创建、删除、修改WMI类或类实例以及命名空间时所产生的事件,都可以称为内部事件。每个内部事件类都代表了一种特定类型的更改,内部事件作为系统类存在于每个命名空间中。一般情况下,WMI为存储在WMI存储库中的对象创建内部事件,提供程序为动态类生成内部事件,如果没有可用的提供程序,WMI将会为动态类创建一个实例。以下为WMI用于报告内部事件的系统类。
2)外部事件。外部事件是非系统类预定义事件,WMI使外部事件提供程序直接定义描述事件的事件类(例如当计算机切换到待机模式的事件为外部事件时)。外部事件能够及时响应触发,解决了内部事件时间间隔的问题。虽然外部事件通常不会包含太多的信息,但其事件功能还是极其强大的。以下为常见的外部事件类。
(2)事件消费者
事件消费者(EventConsumer)指的是当事件传递给EventConsumer类时执行的命令动作,也可以理解为我们希望在事件触发时发生的特定操作。事件消费者大体可分为临时事件消费者和永久事件消费者两类。
1)临时事件消费者。只在运行期间关心并处理特定的事件。临时事件消费者必须手动启动,并且不能在WMI重新启动或操作系统重新启动后持续存在。临时事件消费者只能在其运行时处理事件。
2)永久事件消费者。类实例注册在WMI命名空间中,一直有效直至注销。(永久性的WMI事件是持久性驻留的,并且以SYSTEM权限运行,重启后仍然还在。)永久事件消费者一直运行到其注册被显式取消,并会在WMI或系统重新启动时启动。永久事件消费者是系统上WMI类、过滤器和COM对象的组合。
在事件消费者中,系统提供了如下WMI预安装的永久事件消费者的类,它们都属于Root\CTMV2以及ROOT\DEFAULT这两个命名空间。我们可以创建这些类的实例以提供永久事件消费者类,提供在过滤器中指定的事件触发时响应的逻辑消费者。例如,使用ActiveScriptEventConsumer类执行VBScript/JScript脚本代码程序。
从红队的角度来看,我们比较关注两个类:可以执行VBScript/JScript脚本代码程序的ActiveScriptEventConsumer类,以及可以运行任意命令的CommandLineEventConsumer类。这两个类为我们提供了很大的灵活性,供我们执行任何的有效载荷(payload),完美实现无文件写入。
(3)FilterToConsumerBinding
FilterToConsumerBinding(消费者绑定筛选器)将EventConsumer实例与EventFilter实例相关联,以明确什么事件由什么消费者处理和负责。如下代码通过创建FilterToConsumer-Binding类的实例来将EventFilter和EventConsumer这两个实例连接绑定在一起。
2.创建永久事件订阅
永久事件订阅是存储在CIM存储库中的一组静态WMI类,我们可以通过MOF的方式分4个步骤来创建永久事件订阅。如下是具体步骤以及创建永久事件订阅模板的MOF示例。
1.信息收集
在拿到内网某一台计算机的权限后,红队第一时间要做的就是收集信息。WMI中的各种类为内网信息收集提供了十分有利的条件,红队可以利用如下WMI中各种类的子集来对目标进行全方位的信息收集。
❑主机/操作系统信息:Win32_OperatingSystem、Win32_ComputerSystem。
❑文件/目录列举:CIM_DataFile。
❑磁盘卷列举:Win32_Volume。
❑注册表操作:StdRegProv。
❑运行进程:Win32_Process。
❑服务列举:Win32_Service。
❑事件日志:Win32_NtLogEvent。
❑登录账户:Win32_LoggedOnUser/Win32_LogonSession。
❑共享:Win32_Share。
❑已安装补丁:Win32_QuickFixEngineering。
❑网络信息:Win32_IP4RouteTable。
❑用户账户:Win32_UserAccount。
❑用户组:Win32_Group。
2.杀毒引擎检测
默认情况下,杀毒引擎会自动注册在WMI的AntiVirusProduct类中的root\SecurityCenter或root\SecurityCenter2命名空间中,可以执行SELECT*FROM AntiVirusProduct查询语句来查询当前已安装的杀毒引擎。
3.代码执行及横向移动
在内网中,可以利用事件订阅和win32_process类的Create方法来实现代码执行及横向移动。
(1)事件订阅
可以使用WMI的功能来订阅事件并在该事件发生时执行任意代码,从而在系统上提供持久化。例如:利用ActiveScriptEventConsumer(事件消费者组件类)来实现无文件写入,或者利用_IntervalTimerInstruction类,让其在往后特定的几秒触发运行,让其作为我们的攻击向量,又或者将Win32_ProcessStartTrace的外部事件作为创建LogonUI.exe的触发器,实现在屏幕锁定后执行特定的操作。可以选择Windows系统中的任意一个事件筛选器来实现想要的操作。
(2)win32_process类的Create方法
win32_process类的Create方法是最经典的代码执行技术场景,通过运行进程win32_process类的Create方法来直接与本地或者远程计算机进行交互。
WMI拥有极其强大的事件处理子系统,因在操作系统中的所有操作行为都可以触发WMI事件,我们可以将WMI理解成Windows操作系统自带的一个免费IDS(入侵流量检测)。WMI的定位就是实时捕获攻击者的攻击操作,而利用WMI所产生的事件可进一步判断一个操作是不是攻击者的操作。以下是攻击者常用的攻击利用手法以及所触发的事件。
❑攻击者使用WMI作为持久性机制,EventFilter、EventConsumer、FilterToConsumer被绑定创建,__InstanceCreationEvent事件被触发。
❑WMI Shell工具集被用作C2通道,会创建和修改命名空间对象的实例,因此会触发NamespaceCreationEvent和NamespaceModificationEvent事件。
创建WMI类存储攻击者数,__ClassCreationEvent事件会被触发。
❑当攻击者安装恶意WMI提供程序时,一个Provider类的实例会被创建,InstanceCreation-Event事件会被触发。
❑当攻击者使用开始菜单或注册表做持久化时,一个Win32_StartupCommand类的实例会被创建,__InstanceCreationEvent事件会被触发。
❑当攻击者安装服务时,一个Win32_Service实例会被创建,InstanceCreationEvent事件会被触发。