当你的领导去安排你完成一项任务,其实是让你完成任务的同时,学习不懂的领域和知识 --大余
使用WMIC进行内网信息收集
渗透测试的本质就是信息收集
比cmd更加强大的命令行----WMIC
在攻击渗透当中,在后渗透阶段,更适合使用WMIC。当攻击者已经穿透外网,进入内网,在远程pc上拿到meterpreter会话或者Cobalt Strike上线后,可以枚举收集大量的系统信息,在内网遨游。说到内网渗透,最重要的还是内网的信息收集,在内网中要知道,我是谁,这是哪,我在哪,这三个方面,利用WMIC命令行工具可以进行更深程度的操作
WMIC
可以查看WMIC命令的全局选项,WMIC全局选项可以用来设置WMIC环境的各种属性,通过结合各种全局选项以及参数,我们就可以通过WMIC环境来管理整个系统了。
wmic /?
手动收集
获取系统角色、用户名和制造商
根据WMIC命令的操作系统指令,我们可以枚举出大量关于目标系统的信息,包括主机名、域名、制造商以及设备型号
我们还可以添加下列过滤器来获取更精确的扫描结果:
Roles:它可以给我们提供目标设备在整个网络系统中所扮演的角色,例如工作站、服务器或个人PC等
Manufacturer:它可以给我们提供目标系统的制造商和设备型号,因为某些特定制造商所生产的特定型号设备会存在特定的漏洞,因此我们可以利用者部分信息来寻找存在漏洞的设备。
UserName:它可以给我们返回系统的用户名,我们可以利用这部分信息来区分谁是管理员谁是普通用户
[/format:list]:以列表格式输出数据并排列
wmic computersystem get Name, Domain, Manufacturer, Model, Username, Roles/format:list
获取SID
为了枚举出SID,我们需要用到WMIC中的group选项:
wmic group get Caption,InstallDate,LocalAccount,Domain,SID,Status
如下图所示,我们以及查找到了账户名、域名、本地组成员状态、SID以及相应的状态:
创建一个进程
WMIC命令的process选项可以帮助我们在目标用户的系统中创建各种进程。这种功能可以帮助我们创建后门,或占用大量目标系统的内存:
wmic process call create "[Process Name]"
wmic process call create "taskmgr.exe"
这个命令不仅会创建一个进程,还会赋予相应的进程ID,所以我们可以根据我们的需要来修改进程信息。
注意:如果进程创建了一个类似任务管理器和CMD这样的窗口,那么这条命令将会在目标系统中打开这个窗口,这样会引起目标用户的怀疑。
修改进程优先级
WMIC命令的process选项还可以帮我们修改目标系统中运行进程的优先级,这是一个非常有用的功能。降低某个进程的优先级可能会导致特定的应用程序发生崩溃,从而提升某个进程的优先级甚至还会导致整个系统发生崩溃。
wmic process where name="explorer.exe" call set priority 64
终止进程
WMIC命令还可以帮助我们终止目标系统正在运行的进程:
wmic process where name="explorer.exe" call terminate
获取可执行文件列表
下面的命令可以枚举出整个系统中多有可执行文件的路径地址:
wmic process where “NOT ExecutablePath LIKE ‘%Windows%’” GET ExecutablePath
获取目录属性
WMIC命令的fsdir选项可以提取文件目录的基本信息,其中包括压缩方法、创建日期、文件大小、是否可读写、是否为系统文件、加密状态以及加密类型等
wmic fsdir where="drive='c:' and filename='test' " get /format:list'
获取文件属性
WMIC命令的datafile选项可以获取目标系统中文件的基本信息,其中包括压缩方法、创建日期、文件大小、是否可读写、是否为系统文件、加密状态以及加密类型等等:
wmic datafile where=’[Path of File]’ get /format:list
wmic datafile where name=’c:\\windows\\system32\\demo\\demo.txt’ get /format:list
定位系统文件
WMIC可以提取出所有重要系统文件的路径,例如temp目录和win目录等:
wmic environment get Description, VariableValue
获取已安装的应用程序列表
wmic product get name
获取正在运行的服务列表
获取到正在运行的服务列表后,WMIC还可以提供服务的启动模式,例如:自动、手动和运行中。
wmic service where (state=”running”) get caption, name, startmode
获取系统驱动详情
sysdrive选项可以枚举出驱动的名称、路径和服务类型等数据:
wmic sysdriver get Caption, Name, PathName, ServiceType, State, Status /format:list
获取操作系统详情
os选项可以列举出目标系统的上一次启动时间、注册的用户数量、处理器数量、物理/虚拟内存信息和安装的操作系统类型等:
wmic os get CurrentTimeZone, FreePhysicalMemory, FreeVirtualMemory, LastBootUpdate,NumberofProcesses, NumberofUsers, Organization, RegisteredUsers, Status/format:list
部分变量有错误,可以一个一个查询
获取主板信息和BIOS序列号
wmic baseboard, get Manufacturer, Product, SerialNumber, Version
wmic bios, get serialNumber
获取内存缓存数据
memcache选项可以获取到内存缓存名和块大小等信息:
wmic memcache get Name, BlockSize, Purpose, MaxCacheSize, Status
获取内存芯片信息
memorychip选项可以获取到RAM的相关信息,例如序列号等等:
wmic memorychip get PartNumber, SerialNumber
判断目标系统是否为虚拟机
我们可以根据onboarddevice选项返回的信息来判断目标系统到底是真实的主机操作系统,还是一台虚拟机(VMware或Virtual Box):
wmic onboarddevice get Desciption, DeviceType, Enabled, Status /format:list
锁定用户账号
我们可以使用useraccount选项来锁定本地用户账号:
wmic useraccount where name=’demo’ set disabled=false
用户账号重命名
wmic useraccount where name=’demo’ rename hacker
限制用户修改密码
还可以限制本地用户的密码修改操作:
wmic useraccount where name=’hacker’ set passwordchangeable=false
获取反病毒产品详情
我们可以枚举出目标系统安装的反病毒产品信息,包括安装位置和版本:
wmic /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,productState, pathToSignedProductExe
清理系统日志
WMIC命令的nteventlog选项还可以清除系统的日志记录,当你入侵了某个系统之后,这个命令可以帮助你掩盖攻击痕迹:
wmic nteventlog where filename='[logfilename]’ cleareventlog
wmic nteventlog where filename=’system’ cleareventlog
自动收集
使用WMIC脚本自动收集信息
为了简化操作,可以创建一个脚本,在目标机器上完成流程、服务、用户账户、用户组、网时区等信息的查询工作,网上有很多类似脚本,当然也可以自己定制,推荐一个利用wmic收集目标机器信息的脚本 WMIC(管理工具命令行)是最有用的windows命令行工具。默认情况下,任何版本的Windows xp的低权限用户不能访问WMIC,windows7以上版本的低权限用户允许访问wmic并执行相关查询操作
wmic脚本
for /f "delims=" %%A in ('dir /s /b %WINDIR%\system32\*htable.xsl') do set "var=%%A"wmic process get CSName,Description,ExecutablePath,ProcessId /format:"%var%">> out.h tml
wmic service get Caption,Name,PathName,ServiceType,Started,StartMode,StartName /forma t:"%var%" >> out.html
wmic USERACCOUNT list full /format:"%var%" >> out.html
wmic group list full /format:"%var%" >> out.html
wmic nicconfig where IPEnabled='true' get Caption,DefaultIPGateway,Description,DHCPEnabled,DHCPServer,IPAddress,IPSubnet,MACAddress /format:"%var%" >> out.html
wmic volume get Label,DeviceID,DriveLetter,FileSystem,Capacity,FreeSpace /format:"%var%" >> out.html
wmic netuse list full /format:"%var%" >> out.html
wmic qfe get Caption,Description,HotFixID,InstalledOn /format:"%var%" >> out.html
wmic startup get Caption,Command,Location,User /format:"%var%" >> out.html
wmic PRODUCT get Description,InstallDate,InstallLocation,PackageCache,Vendor,Version/format:"%var%" >> out.html
wmic os get name,version,InstallDate,LastBootUpTime,LocalDateTime,Manufacturer,RegisteredUser,ServicePackMajorVersion,SystemDirectory /format:"%var%" >> out.html
wmic Timezone get DaylightName,Description,StandardName /format:"%var%" >> dayu.html
将该文本复制进txt,然后修改后缀为bat打开即可
执行完,打开out.html文件