ATT & CK 阶段之Execution -- WMI

最新推荐文章于 2025-06-05 17:57:36 发布
原创 最新推荐文章于 2025-06-05 17:57:36 发布 · 764 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#WMI远程利用

本文详细介绍了Windows Management Instrumentation (WMI)的基本概念、语法及其在渗透测试中的多种利用方式,包括远程命令执行、注册表自启动项写入、格式解析远程上线等技巧。

WMI简介

Windows Management Instrumentation:是Windows管理功能,主要是为本地和远程访问Windows系统组件提供环境。依靠于Wmi服务进行本地或远程访问,同时需要SMB及RPCS(135端口)进行远程访问。攻击者通过WMI可以进行远程交互,用于后续渗透的信息收集或远程执行命令。

缓解措施

  1. 特权账号管理,防止系统账号和特权账号凭证相同
  2. 用户账号管理:默认只有管理员账号才可以通过WMI远程连接。可严格控制所有用户无法通过WMI远程连接

检测方式

  1. 网络监控:监控使用wmi远程连接
  2. 行为监控:监控命令行中带wmic

wmi语法

cmd > wmic [alias] [where clause] [verb cluause]

Useful [aliases] : wmic /? 查看所有可用别名
    process : 进程相关信息
    service : 服务
    share : 共享通道
    nicconfig : 网络适配器
    startup : 用户登录后自启动项目
    useraccount : 用户账号信息
    qfe : 用于查看补丁

Example [whiere clauses]: wmic [alias] get /? 查看所有的属性,用于where判断
    where name="nc.exe"
    where (commandline like "%stuff")
    where (name="cmd.exe" and parentprocessid!="[pid]")
    
Example [verb clauses]:
    list [full|brief] : 列出全部或简要列出
    get [attrib1,attrib2] :查看属性
    call [method] : 查看所有方法 /?
    delete

以上为基本的用法,接下来看几个实际常用的例子
1.查看所有用户名并且能找出隐藏账号

wmic useraccount get Name

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-z39wa0hI-1589016503091)(evernotecid://E313BAD6-185D-4B09-A205-0D35B54ADFE7/appyinxiangcom/22766090/ENResource/p345)]
2.使用wmic远程连接服务器并执行命令

wmic /node:192.168.160.172 /user:administrato
最低0.47元/天 解锁文章
网络安全工具列表
anquanzushiye的博客
12-30 1254
Sec-Tools-List主要总结渗透中利用到的一些工具,按照ATT&CK矩阵的流程进行分类,在此基础上进行了更细致的划分。一些常用的工具(Nmap、MSF、Minikatz不...
ATT&CK-Execution
Mccc_li的博客
09-18 613
文章目录Command and Scripting InterpreterT1059.001 PowerShell基础命令PowerSploitnon-powershellPowerLinePowerShdllNopowershellSyncAppvPublishingServer调用MSBuild.exe调用cscriptT1059.003 Windows Command Shellcmd /cT1059.005 Visual BasicT1059.006 PythonT1059.007 JavaScri
GHelper与WMI Provider Host高CPU占用问题的技术分析
gitblog_07766的博客
05-17 531
GHelper与WMI Provider Host高CPU占用问题的技术分析 【免费下载链接】g-helper Lightweight Armoury Crate alternative for Asus laptops. Control tool for ROG Zephyrus G14, G15, G16, M16,...
ATT & CK 阶段Execution -- CMSTP
sojrs_sec的博客
05-09 1750
前言 ATT&CK 阶段之Executon即执行:当黑客入侵成功之后,往往会通过一系列的命令去获取信息、创建持续性会话。本文主要讲解通过cmstp.exe命令执行,调用恶意的dll或者com脚本(sct)。这种方式可以绕过applocker或者其他白名单的防御方式以及UAC. cmstp基本命令使用 cmstp.exe /s /ns C:\Users\ADMINI~W\AppData\Local\Temp\XKNqbpzl.txt 在cmd中执行cmstp.exe -h 安装配置 cmstp.e
att&ck-Execution
Mccc_li的博客
01-17 1328
文章目录regsvr321.远程加载sct文件执行命令 regsvr32 1.远程加载sct文件执行命令 该手段的作用在于AWL(APPLICATION WHITELISTING,微软应用白名单策略:https://www.4hou.com/posts/4960)绕过,在windows10上绕过applocker这个东西不起作用了。。。。。 1)sct文件的内容应该是类似于下面这种,文件后缀不一定是sct,但是文件的内容要是xml的格式. <?XML version="1.0"?> <sc
ATT&CK初步了解
博客地址 www.sec0nd.top
07-27 1291
ATT&CK起源于一个项目,该项目记录并分类了入侵后针对微软Windows系统的对手战术、技术和程序(TTPs),以提高对恶意行为的检测。后来它发展到包括Linux和macOS,并扩大到涵盖导致环境妥协的行为,以及技术重点领域,如移动设备、基于云的系统和工业控制系统。MITREATT&CK是一个针对网络对手行为的精心策划的知识库和模型,反映了对手攻击生命周期的各个阶段以及他们已知的目标平台。红队、紫队和渗透测试活动的规划、执行和报告可以使用ATTCK,以便防御者和报告接收者以及其内部之间有一个通用语言。.
ATT & CK 阶段之Persistence -- Scheduled Task
sojrs_sec的博客
05-12 765
前言 在黑客攻击某台机器之后,为了防止会话中断而失去机器的控制权限,黑客常会通过计划任务的手段来维持自身的权限。在Windows系统中,常通过at;schtasks进行设置。 常见攻击方式 at schtasks cron 缓解方式 审计 系统配置,禁用system权限执行计划任务 授权账号管理。只允许管理员相关用户配置计划任务 检测方式 监控相关进程的执行和命令行参数。如win10监控svchost.exe,而更早版本的使用taskeng.exe,计划任务存储在%systemroot%\Syste
深入理解 APT 与 ATT&CK 框架
最新发布
「威胁棱镜」—— 以攻击者视角构建企业级防御体系 本博客聚焦高级威胁对抗(APT) 与 实战化防御工程 领域,致力于解构攻击技术本质,探索可落地的自动化防护方案。作者深耕ATT&CK框架应用、云原生安全架构、终端检测响应(EDR)深度防御。
06-05 1839
ATT&CK 框架的价值在于将 攻击者视角 转化为 防御路线图。通过本文的代码示例,读者可快速构建基于行为的 APT 检测能力。持续跟踪 MITRE 的更新(如 ICS、云矩阵)是应对新型 APT 的关键。
HTB Arctic[ATT&CK模型]writeup系列7
重新启程
02-05 3895
目录 0x00 靶机情况 0x01 ATT&CK ATT&CK能用来干什么? 网空威胁行为体(CyberThreat Actors) ATT&CK模型 TTP的定义 0x02 PRE-ATT&CK 一、Priority Definition(优先级定义) 二、Target Selection(选择目标) 三、Information Gat...
TA0002 Execution 执行
b10d9的博客
05-08 319
战术目的 Execution战术目的主要是在目标系统上执行恶意命令。该战术相关技术通常与其他战术技术相互关联。 利用命令和脚本解释器 操作系统通常自带有命令和脚本解释器,如Windows的CMD和powershell,以及跨平台的解释器,如python、JavaScript等。攻击者可以利用这些命令和脚本解释器执行恶意命令、脚本以及二进制文件,达到攻击目的。常见的解释器有: 1)powershell 2)AppleScript 3)Windows command shell 4)unix
ATT&CK(三)之ATT&CK的十四个战术
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
06-28 4037
ATT&CK矩阵从2018年的v8版本开始,战术阶段增加到14个战术(Tactics)阶段,此前为12个战术阶段,多增加了“侦查”、“资源建立”2个战术,以及“初始访问”、“执行”、“持久化”、“提权”、“防御绕过”、“凭据访问”、“发现”、“横向移动”、“收集”、“命令与控制”、“数据泄露”、“影响”12个战术。其中前面2个战术指的是PRE-ATT&CK阶段,后面12个战术指的是ATT&CK阶段。下图是v7版本的12个战术阶段下图是v12版本的14个战术阶段
ATT&CK】简介
吉吉的博客
08-22 3600
ATT&CK 模型简介,相关知识,应用场景,攻击者和防守方的利用
初识ATT&CK
m0_38103658的博客
05-12 3010
初识ATT&CK框架 前言: ATT&CK这一概念自2014年提出时起,作为安全分析领域中的前沿研究一直在默默地发挥着自己的影响,但是由于其概念在当时过于超前以至于并没有引起多大反响,直至2019年的红蓝对抗赛这才把ATT&CK框架重新推回到了安全圈的C位上,接下来的三期内容,美创安全实验室将为大家带来ATT&CK模型的独家解读,好了,废话不多说Let‘s go! 但是要是想完全弄懂ATT&CK模型到底是什么,那么有一个相关概念以及问题必须要先弄懂。还请大家耐心看完。
【读书笔记】针对ICS的ATT&CK矩阵详解(一)
tpriwwq的专栏
03-07 1908
Att&CK for ICS Matrix
ATT&CK 框架讲解
土豆的博客
10-21 2270
通过将ATT&CK的攻击技术与D3FEND的防御技术进行映射和关联,安全团队可以更加全面地了解攻击与防御之间的对应关系,从而制定更加有效的防御策略。通过结合ATT&CK框架与智能化响应技术,安全团队可以构建自动化的响应流程,根据攻击行为的特征和严重程度,自动选择和执行相应的响应措施。同时,基于ATT&CK框架的自动化和智能化技术还可以帮助组织评估自身的安全状况,发现潜在的安全漏洞和弱点,并提供针对性的改进建议。这些模块的引入,不仅丰富了框架的内容,也提升了其在实际应用中的针对性和实用性。
ATT&CK - T1546.003 | 事件触发的执行.WMI事件订阅
JiangBuLiu的博客
03-16 552
事件触发的执行:WMI事件订阅目的出现场景ATT&CK - T1546.003检查方式 目的 建立持久性 出现场景 比如一些病毒的启动方式、包括但不限于勒索,功能类似计划任务 ATT&CK - T1546.003 攻击者可以通过执行管理规范(WMI)事件订阅触发的恶意内容来建立持久性并提升特权。使用WMI的功能来订阅事件并在事件发生时执行任意代码 检查方式 Sysinals、Autoruns等工具来检测可能尝试持久性的WMI更改; 监视可用于注册WMI持久性的进程和命令行参数,例如Regi
ATT&CK(对抗性战术,技术和公共知识库)
一智哇的博客
03-23 6545
ATT&CK
ATT&CK调研
weixin_41038905的博客
06-12 442
1.网址 https://mitre-attack.github.io/attack-navigator/enterprise/
ATT&CK】开源项目-mitreattack-python
xqdd的专栏
11-08 726
mitreattack-python是用来处理ATT&CK数据的python开源工具
掌握ATT&CK-CN:实战指南
标题中的“ATT-CK-CN:ATT&CK实操”表明本文档是一个关于MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)框架的实战指南。ATT&CK框架是一种以行为为导向的攻击知识库,它详细列出了攻击者...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值