网络中检测远程WMI应用

最新推荐文章于 2026-06-22 08:59:57 发布
原创 最新推荐文章于 2026-06-22 08:59:57 发布 · 2.4k 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文介绍了如何在网络中检测Windows Management Instrumentation (WMI)的应用,重点在于利用WMI的DCOM组件和RPC调用来识别远程活动。通过监控特定的RPC调用,特别是IWbemLevel1Login和IWbemServices接口,以及检测两个特定的UUID,可以识别WMI的网络行为,这对于入侵检测和网络安全审计至关重要。

Windows 管理规范(Windows Management Instrumentation)是一项核心的 Windows 管理技术,用户可以使用 WMI 管理本地和远程计算机。参见这里了解更多WMI知识:http://www.cnblogs.com/haiq/archive/2011/01/14/1935377.html

通常乐意使用WMI的有两种人:IT管理员和黑客。作为入侵检测产品有必要检测网络中WMI的应用,作为审计信息以备管理员查阅,发现网络异常行为。

WMI底层使用的是DCOM组件(Distribute COM),在网络上使用的是RPC远程调用。那么在网络中检测WMI应用其实就是检测特定的RPC调用。关于WMI调用过程中网络事件描述参考这里。IWbemLevel1Login,IWbemServices是WMI建立远程连接,使用远程服务必须调用的接口,它们就是要检测的目标。

首先在这里copy一份查看远程计算机进程的代码,更改一下IP地址和用户名密码,保存成vbs文件。

strComputer = "10.200.96.277"
Set objSWbemLocator = CreateObject("WbemScripting.SWbemLocator")
Set objSWbemServices = objSWbemLocator.ConnectServer _
    (strComputer, "root\cimv2", _
    "fabrikam\administrator", "password")
Set colProcessList = objSWbemServices.ExecQuery( _
    "Select * From Win32_Process")
For Each objProcess in colProcessList
    Wscript.Echo "Process Name: " & objProcess.Name 
Next

运行它,将得到远程计算机上的所有进程。运行是打开Wireshark抓取网络数据包:


UUID能唯一标示一个接口。只要在RPC数据流中检测2个特定的UUID: F309AD18-D86A-11d0-A075-00C04FB68820 和9556dc99-828c-11cf-a37e-00aa003240c7就可以确定网络中发生了WMI应用。


横向移动检测远程执行(四)WMI/WMIC
qq_27828281的博客
12-13 5303
横向移动——WMI/WMIC远程执行分析及溯源
Windows 远程控制(经典IPC$入侵、psexec类工具、利用WMI远程入侵、PsRemoting远程命令执行、使用wmic命令远程执行)
LKmnbZ's Blog
01-14 7744
一、经典IPC$入侵 利用ipc$和默认共享入侵远程电脑的过程 1. C:\>net use \\127.0.0.1\IPC$ "密码" /user:"用户名" 一般通过扫描弱口令来得到管理员帐号和密码 2. C:\> copy srv.exe \\127.0.0.1\admin$ 先复制srv.exe上去(这里的$是指admin用户的c:\winnt\system32...
什么是WMI
12-19 2037
 什么是WMI WMI。中文名字叫Windows管理规范。从Windows 2000开始,WMI(Windows 管理规范)就内置于操作系统中,并且成为了Windows系统管理的重要组成部分。所以大家很容易就能见到它的,因为我们至少也应该是个Windows 2000的使用者了。下面我将详细介绍它的每个细节,让你从不认识它到喜欢上它。 WMI能做什么? WMI不仅可以获取想要的计算机数据,而
[windows] 详解WMI的攻击与防御方法
永生天地
07-07 2912
详解WMI的攻击与防御方法<br /> <br />作者:黑客吧管理 <br /><br /><br />WMI是“Microsoft Windows 管理规范”的简称,需要“Windows Management Instrumentation”服务支持,而这个服务是默认启动的,这就为入侵提供了很大的方便。只要黑客知道了管理员的用户名和密码,而且本机的135端口已开启,黑客就可以在被入侵的机器上执行任意命令,取得控制权。而大多数用户在安装系统时都把系统自带的管理员账户Administrator密码留空,这无
【C#学习之路】WMI进程操作实现程序远程更新
qq_25199617的博客
03-19 1460
本博客旨在记录学习或开发中遇到的一些问题。最近需要实现上位机局域网内,在本地和远程实现软件的更新,实际上就是实现本地和远程的文件、进程操作。文件操作好说,直接File.Copy()就好,本地进程操作使用Process()即可实现,主要是远程进程操作我多方查阅后使用WMI实现。提示:以下是本篇文章正文内容,下面案例可供参考希望会对你有所帮助。完整的程序是用WPF的MVVM模式实现的,也是我正在学习部分,完整代码有需自取(转到github。
深入理解WMI技术及其在远程管理中的应用
weixin_28922227的博客
04-08 524
本篇博客将探讨Windows管理工具(WMI)的强大功能及其在远程计算机管理中的应用。通过实际代码示例和步骤,您将了解如何使用WMI进行系统信息的检索、服务和进程的管理,并掌握远程执行任务的能力。此外,本文还将介绍如何在.NET环境中实现WMI查询和操作,以及如何防范和检测网络安全威胁。
CrackMapExec WMI执行模块:Windows渗透测试终极指南
gitblog_00977的博客
11-24 829
CrackMapExec是一款功能强大的网络安全工具,专为Windows环境渗透测试和网络侦查设计。其WMI执行模块是Windows管理工具的核心功能,能够通过Windows Management Instrumentation (WMI) 协议实现远程命令执行和系统管理。 ## 🚀 WMI执行模块核心功能 CrackMapExec的WMI模块提供了两种主要的执行方法,位于[cme/prot
Spraykatz在红队评估中的实战应用:绕过杀毒软件的终极技巧
最新发布
gitblog_00350的博客
06-22 298
Spraykatz是一款功能强大的凭证收集工具,专门用于自动化远程procdump和解析lsass进程。在红队评估中,它能够帮助安全专家高效获取目标系统凭证,同时提供多种绕过杀毒软件的实用技术。本文将详细介绍Spraykatz的核心功能、安装配置步骤以及在实战中绕过杀毒软件的关键技巧。 ## 一、Spraykatz核心功能解析 Spraykatz的核心优势在于其自动化的远程凭证获取流程。工具通
实战案例:使用ThreatHunting发现 lateral movement 横向移动攻击链
gitblog_00671的博客
03-16 783
ThreatHunting是一款映射MITRE ATT&CK框架的Splunk应用,专为指导威胁狩猎活动设计。通过该工具,安全分析师可以系统性地检测和响应各类攻击行为,尤其是横向移动这类常见且危害严重的攻击链。本文将通过实际案例,展示如何利用ThreatHunting快速定位并分析横向移动攻击。 ## 横向移动攻击的危害与检测难点 横向移动是攻击者在突破边界防御后,在内部网络中扩展控制权的关键
WMI(windows管理模块)横向渗透
chinansa的博客
12-03 1147
WMI基于COM(组件对象模型)和DCOM(分布式组件对象模型),提供了一个统一的管理架构,通过使用WMI脚本和工具,可以访问和操作大量的系统信息和配置设置。命令执行:攻击者可以通过WMI来执行命令。例如,可以查询目标系统的用户账户和密码哈希(如果存储在可访问的WMI类中)、网络配置信息(如Wi Fi密码等)以及存储在系统中的文件列表等。例如,系统管理员可以使用WMI来查询计算机的硬件信息(如CPU型号、内存大小等)、软件安装情况(如已安装的程序列表)以及系统的性能数据(如CPU使用率、磁盘I/O等)。
WMI远程访问问题解决方法
weixin_34288121的博客
01-21 472
WMI 全称为:Microsoft Windows Management Instrumentation (WMI)按微软的介绍大致如下: WMI 是 Microsoft 主要的针对 Windows 的管理支持技术。在 WMI 之前,所有的 Windows 图形化管理工具都依赖于 Win32 应用程序编程接口(Application ProgrammingInterfaces,APIs...
Windows安全基础——Windows WMI详解
m0_59598029的博客
02-29 4621
WMI(Windows Management Instrumentation, Windows管理规范)是Windows2000/XP管理系统的核心,属于管理数据和操作的基础模块。设计WMI的初衷是达到一种通用性,通过WMI操作系统、应用程序等来管理本地或者远程资源。它支持分布式组件对象模型(DCOM,DistributionModel)和Windows远程管理(WinRM),用户可通过WMI服务访问、配置、管理和监视Windows所有资源的功能。
Windows开启WMI时一些总结
weixin_30567225的博客
02-09 3117
  通过远程的方式连接WMI获取计算机信息时,可能会出现远程主机拒绝访问,这时就要通过下面的方式来开启当前计算机的WMI服务,下面以Win7和Win10为例来进行相关的说明,通过一步步排查去连接远程服务。 一 在本机测试是否可以连接远程主机WMI服务   1 按下Windows+R组合键,调用系统运行窗口。   2 输入wbemtest命令。 图1 调用WMI测试器   3 打开W...
windows开启远程Wmi服务支持
墨鱼菜鸡
09-09 848
wmi不仅支持本地也同样支持远程,这里介绍一下怎么快速的让当前操作系统开启远程服务。 首先这里以windwos7为例,有的朋友说,开启远程wmi没有,我说这个东西有用,他说没有用,我说小伙子还是太年轻了。这里需要当前用户是管理员权限的,当然默认的登陆用户都是管理员的,但是存在着像我一样的懒人,不给虚拟机的windows设置密码,这样是不行的,需要给当然...
C#利用Wmi远程控制pc或者获取远程pc的配置信息
Akuma专栏
10-19 6287
WMI是Windows Management Instrumentation的简称,即:视窗管理规范。在Windows 2000或以后的版本中均安装得有,NT4.0则需要安装WMI的核心组件。通过WMI可以获取远程计算机的各种数据信息,控制远程计算机的各种行为,而这就像操作本地机一样方便、简单。  一.WMI简介  WMI从根本上说应该为一种服务,并且对于本地不同的用户,WMI所有的权限也不一样。
剑走偏锋--使用WMI获取远程计算机进程程序集中查毒病毒打造内网安全环境
04-09 1293
剑走偏锋-使用WMI获取远程计算机进程程序 集中查毒病毒打造内网安全环境 作者:高玉涵 时间:2019.04.1815:45 博客:blog.csdn.net/cg_i 作者背景环境参见: 《由永恒之蓝病毒引发的运维安全思考——网络边界防御篇 》 《非常运维 一体化终端安全管理系统自动安装脚本详解》 TMOTWTDI-- Perl名言 真正见功夫的地方不在于代码本...
【基础篇】————18、隐匿攻击之WMI
Fly_鹏程万里
05-26 1485
Windows Management Instrumentation(WMI)是一项Microsoft技术,旨在允许管理员跨网络执行本地和远程管理操作。由于WMI是自Windows 98以来存在的Windows生态系统的一部分,因此无论是运行Windows 10还是Windows XP,它几乎可以在每个网络中使用。可以通过WMI执行的一些操作是: 命令执行 文件传输 读取文件和注册表项 文...
远程调用WMI安装软件
weixin_34075551的博客
11-04 673
 Invoke-WMIMethod  -ComputerName $ip -Credential $cred -path Win32_product -Name Install -ArgumentList @($true,$null,"D:\temp\install.msi") 
WMI的使用
weixin_45007073的博客
08-01 3281
WMI介绍基本命令 介绍 WMI的全名为"Windows Management Instrumentation"。从win8后,Windows操作系统都支持WMIWMI可以在本地或者远程管理计算机系统。 自从PsExec在内网中被严格监控后,越来越多的反病毒厂商将PsExec加入了黑名单,于是乎攻击者转向使用WMI进行横向移动。在渗透时发现,在使用wmiexec进行横向移动时,Windows操作系统默认不会将WMI的操作记录在日志中。因为这个过程不会记录日志,所以对蓝队来说大大增加了溯源的成本。对攻击者来
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值