三好学生2015/08/24 10:19 0x00 前言 Matt Graeber在Blackhat中介绍了如何使用WMI并展示其攻击效果，但细节有所保留，所以这一次具体介绍如何通过powershell来实现WMI attacks。 0x01 说明 WMI在内网渗透中最常见的是wmiexec 之前在http://drops.wooyun.org/tips/7358中有提到 因此Remote WMI不做重点介绍 参考链接： https://www.blackhat.com/docs/us-15/materials/us-15-Graeber-Abusing-Windows-Management-Instrumentation-WMI-To-Build-A-Persistent%20Asynchronous-And-Fileless-Backdoor.pdf https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/wp-windows-management-instrumentation.pdf 0x02 测试环境 操作系统：win8 x32 powershell v3（win8默认安装） 开启Winmgmt服务，支持WMI 0x03 WMI attacks 注：以下代码均为powershell代码 1、侦查 操作系统相关信息 Get-WmiObject -Namespace ROOT/CIMV2 -Class Win32_OperatingSystem Get-WmiObject -Namespace ROOT/CIMV2 -Class Win32_ComputerSystem Get-WmiObject -Namespace ROOT/CIMV2 -Class Win32_BIOS 文件/目录列表 Get-WmiObject -Namespace ROOT/CIMV2 -Class CIM_DataFile 磁盘卷列表 Get-WmiObject -Namespace ROOT/CIMV2 -Class […]

您可能也喜欢：
Bitten by Apple Pay, eBay gets 3 downgrades	FBI Warning Highlights Healthcare's Security Infancy	以为谷歌们真是在做搜索？只是在用搜索技术改善新人工智能	Zulily continues to tumble, shares sink 10 percent trading near IPO price	机器人抢饭碗，我们怎么破？
无觅