横向移动之WMI和WinRM和impacket简易使用[坑]

Posted 2023-02-15

参考技术A

一些获取信息例子：

执行命令： wmic /node:ip /user:admin /password:pass process call create \'ipconfig\' ，但是没有结果回显。

直接用 impacket 中的 wmiexec.py 一把梭， python wmiexec.py admin:password@ip [command]

在 empire 中也有 wmi 的横向移动的利用模块
lateral_movement/invoke_wmi 和 lateral_movement/invoke_wmi_debugger 设置好用户名密码也可以一把梭了。

使用SMB协议进行登陆，可以告警异常IP登陆。

简介
winrm 在 win7/2008r2 及之后的操作系统是自启动服务，但是只有在 win8/win2012 之后，才允许任意远程主机管理。
因为通过HTTP[S]协议和SOAP格式来管理，所以需要目标主机开放防火墙的5985[http]或5986[https]。

环境
本机执行 Set-item wsman:localhost\\client\\trustedhosts –value *
目标机执行 Enable-PSremoting -f 或 winrm qc

实践

在目标机上执行 query user ，但是该命令会弹出登陆对话框，不适用于纯命令界面。

弹回目标机的一个交互式 powershell ，但是也会弹出登陆对话框。

同 winrm 成对出现就是 winrs ——Windows Remote Shell了，避免了弹框的尴尬。

示例:

比如 winrs -r:ip -u:admin -p:password cmd 会生成一个交互式的shell

但是登陆事件中没有记录IP，特点是每执行命令一次就登陆一次。

sysmon里面虽然设置对应的 RuleName ，但是并没有匹配成功。