在渗透过程中用到了psexe wmic等工具(多数情况下使用的是impacket的工具),但是对其中的原理并不怎么了解,这几天翻阅了些资料,主要想了解远程wmic执行系统命令时的协议过程。
简单来说,wmic通过server端的135端口(DCERPC协议)建立初始连接(包括身份认证过程),后续DCOM协议的数据交换通过Isystemactivator协议的remotecreateinstance request/response过程分配的随机TCP端口进行。
收集了下面的一些材料,后续有时间再仔细学习分析吧。
简单的画了一下各层协议的关系,不见得准确,但可以帮助理解各协议之间的关系。
其中RPC和DCOM的关系如下
- CVE-2015-2370之DCOM DCE/RPC协议原理详细分析
- How do I enable access to WMI to use WMI-based monitors?
- 利用WMI构建一个持久化的异步的无文件后门
- WMI 的攻击,防御与取证分析技术之攻击篇
- WMI 的攻击,防御与取证分析技术之防御篇
- [翻译]网络安全分析之 SMB 协议
- WMI Attacks
- WMI Defense
- WMI Backdoor
- Study Notes of WMI Persistence using wmic.exe
- 内网渗透:利用WMI代替psexec(WMIEXEC.vbs)
- 如何在不调用Win32_Process的情况下使用WMI横向渗透
- Windows Command Line cheatsheet (part 2): WMIC
赋予用户wmi权限: - Configuring DCOM and WMI in Windows 2012 R2 Server for Microsoft SCCM Scanner and Event Collection
- Enable Remote WMI Access for a Domain User Account
- 通过分析网络数据包来理解DCOM协议