PythonPig's Blog 移动通信 TCP/IP Hacker 后渗透 伪码农

WMI相关知识学习

2015-12-20
PythonPig

在渗透过程中用到了psexe wmic等工具(多数情况下使用的是impacket的工具),但是对其中的原理并不怎么了解,这几天翻阅了些资料,主要想了解远程wmic执行系统命令时的协议过程。
简单来说,wmic通过server端的135端口(DCERPC协议)建立初始连接(包括身份认证过程),后续DCOM协议的数据交换通过Isystemactivator协议的remotecreateinstance request/response过程分配的随机TCP端口进行。
收集了下面的一些材料,后续有时间再仔细学习分析吧。

简单的画了一下各层协议的关系,不见得准确,但可以帮助理解各协议之间的关系。

WMI协议栈

其中RPC和DCOM的关系如下

RPC-DCOM


Similar Posts

Comments