WMI讲解(是什么,做什么,为什么)

2022-01-19 21:10:14 浏览数 (1)

WMI的讲解(是什么,做什么,为什么)

讲在前面

作者:pingpig@深蓝攻防实验室

WMI在笔者所参与的项目中发现目前攻防中利用依旧非常频繁,尤其在横向移动中,利用wmic或者powershell的WMI模块操作Win32来达到渗透的目的。笔者在学习了WMI后,将其分为四个模块(讲解、横向移动、权限提升、攻击检测),并写了四篇文章来讲解,还追加了小知识点的编写(WBEMTEST工具使用,普通用户使用wmic)。笔者能力有限,在几篇中若有未讲人话之处,望谅解。

笔者在阅读了WMI的微软官方文档以及国内优秀前辈的介绍文章后,获益匪浅,WMI是一个较为老的知识点了,但是对于想要简单理解WMI的同学来说,对于一个新的知识点进行理解最好是能够有生动形象的例子进行抛砖引玉式的解读,将晦涩难懂的知识点吃透、理解后用简单的话语将其作用表达清楚,使其读者能够快速的理解并为读者接下来深入理解打好基础,以便在攻防中更好的利用WMI,所以此篇文章笔者使用通俗的话语将WMI表达清楚,在下文中对于基础薄弱的同学对于COM组件、Provider方法等专业名词可不做深度理解,只需要知道是WMI这个庞大工具的零件罢了,此文不足之处,望读者海涵.

WMI是什么

简介:

WMI是Windows在Powershell还未发布前,微软用来管理Windows系统的重要数据库工具,WMI本身的组织架构是一个数据库架构,WMI 服务使用 DCOM(TCP 端口135)或 WinRM 协议(SOAP–端口 5985),如下图

此图清晰明了的显示了WMI基础结构与 WMI 提供者和托管对象之间的关系,它还显示了 WMI 基础结构和 WMI 使用者之间的关系,同样我们也可以使用下图来理解。

WMI Consumers(WMI使用者)

它位于WMI构架的最顶层,是WMI技术使用的载体。

  • 如果我们是C 程序员,我们可以通过COM技术直接与下层通信。
  • 而脚本语言则要支持WMI Scripting API,间接与下层通信。
  • 对于.net平台语言,则要使用System.Management域相关功能与下层通信。

这些WMI的使用者,可以查询、枚举数据,也可以运行Provider的方法,还有WMI事件通知。当然这些数据操作都是要有相应的Provider来提供。

WMI Infrastructure(WMI基础结构)

WMI基础结构是Windows系统的系统组件。它包含两个模块:包含WMI Core(WMI核心)的WMI Service(WMI服务)(Winmgmt)和WMI Repository(WMI存储库)。WMI存储库是通过WMI Namespace(WMI命名空间)组织起来的。在系统启动时,WMI服务会创建诸如rootdefault、rootcimv2和rootsubscription等WMI命名空间,同时会预安装一部分WMI类的定义信息到这些命名空间中。其他命名空间是在操作系统或者产品调用有关WMI提供者(WMI Provider)时才被创建出来的。简而言之,WMI存储库是用于存储WMI静态数据的存储空间。WMI服务扮演着WMi提供者、管理应用和WMI存储库之间的协调者角色。一般来说,它是通过一个共享的服务进程Svchost来实施工作的。当第一个管理应用向WMI命名空间发起连接时,WMI服务将会启动。当管理应用不再调用WMI时,WMI服务将会关闭或者进入低内存状态。如我们上图所示,WMI服务和上层应用之间是通过COM接口来实现的。当一个应用通过接口向WMI发起请求时,WMI将判断该请求是请求静态数据还是动态数据。 - 如果请求的是一个静态数据,WMI将从WMI存储库中查找数据并返回; - 如果请求的是一个动态数据,比如一个托管对象的当前内存情况,WMI服务将请求传递给已经在WMI服务中注册的相应的WMI提供者。WMI提供者将数据返回给WMI服务,WMI服务再将结果返回给请求的应用。

Managed object and WMI providers(托管对象和WMI提供者)

WMI提供者是一个监控一个或者多个托管对象的COM接口。一个托管对象是一个逻辑或者物理组件,比如硬盘驱动器、网络适配器、数据库系统、操作系统、进程或者服务。和驱动相似,WMI提供者通过托管对象提供的数据向WMI服务提供数据,同时将WMI服务的请求传递给托管对象。

WMI做什么

在Powershell未发布前用来管理Windows 2000、Windows95、Windows98、WindowsNT等操作系统 ,当然如今的所有Windows系统依旧可以使用WMI来进行管理。

注意: 在上图中我我们可以发现也可以理解,不论Powershell、VBScript或者其他什么语言,其本质还是使用.NET来访问WMI的类库,都是因为WMI向外暴露的一组API,然后进行管理,Powershell的发布只是让我们管理的方式多了一种,本质上没有改变去使用WMI。

为什么使用WMI

对于Windows运维管理人员 对于Windows运维管理功能主要是:访问本地主机的一些信息和服务,可以管理远程计算机(当然你必须要拥有足够的权限,并且双方开启WMI服务,且135端口的防火墙策略是入站出站允许的),比如:重启,关机,关闭进程,创建进程等。可以自定义脚本来进行自动化运维,十分方便,例如可以使用wmic、wbemtest工具。WMIC命令解释。 使用Powershell来操作WMI管理: Powershell查询命名空间

代码语言:javascript复制
WmiObject -Class __namespace -Namespace root |
select name

Powershell查询BIOS信息

代码语言:javascript复制
Get-WmiObject -Class  Win32_BIOS

Powershell查询计算机信息

代码语言:javascript复制
Get-WmiObject -Class  Win32_Operatingsystem

Powershell查询

代码语言:javascript复制
Get-WmiObject -Namespace rootSecurityCenter2 -Class AntiVirusProduct
#注意:在旧版中查询杀软的WMI命名空间为SecurityCenter

注意:这里Powershell操作WMI的对象使用的是内置模块Get-WmiObject,以及查询的类为Win32_Service类,Win32_Service的其他类在官方文档中已经罗列详细:Win32类计算机硬件类、操作系统类等,但是要注意Win32_Service不是唯一可以操作WMI的类,以下类可以交替使用。

- WIn32_Service - Win32_BaseService - Win32_TerminalService - Win32_SystemDriver

使用wmic来操作WMI管理:

代码语言:javascript复制
#查询windows机器版本和服务位数和.net版本
wmic os get caption
wmic os get osarchitecture
wmic OS get Caption,CSDVersion,OSArchitecture,Version
#查询本机所有盘符
fsutil fsinfo drives
shell wmic logicaldisk list brief
shell wmic logicaldisk get description,name,size,freespace /value
#查看系统中⽹卡的IP地址和MAC地址
wmic nicconfig get ipaddress,macaddress
#⽤户列表
wmic useraccount list brief
#查看当前系统是否有屏保保护,延迟是多少
wmic desktop get screensaversecure,screensavertimeout
#域控机器
wmic ntdomain list brief
#查询杀软
wmic /namespace:\rootsecuritycenter2 path antispywareproduct 
GET displayName,productState, pathToSignedProductExe && wmic
 /namespace:\rootsecuritycenter2 path antivirusproduct GET 
displayName,productState, pathToSignedProductExe
#查询启动项
wmic startup list brief |more
#获取打补丁信息
wmic qfe list
#启动的程序
wmic startup list brief
#启动的程序
wmic startup list full

对于网络安全人员

对于网络安全人员在攻防当中,利用WMI进行横向移动、权限维持、权限提升、包括免杀都可以进行利用,这个在接下来的三个不同的篇章中进行介绍。

0 人点赞