Win WMI[1] 介绍及常用命令
1、WMI介绍
WMI(Windows Management Instrumentation,Windows 管理规范)是一项核心的 Windows 管理技术;用户可以使用 WMI 管理本地和远程计算机。
可以通过客户端应用程序和脚本使用 WMI。 它提供一个基础结构,使你能够轻松发现和执行管理任务。 此外,你可以通过创建自己的 WMI 提供程序来添加到一组可能的管理任务。
- WMI作为一种规范和基础结构,通过它可以访问、配置、管理和监视几乎所有的Windows资源,比如用户可以在远程计算机器上启动一个进程;设定一个在特定日期和时间运行的进程;远程启动计算机;获得本地或远程计算机的已安装程序列表;查询本地或远程计算机的Windows事件日志等等。
- WMI的默认端口:135
- WMI有一组API。使用任何语言来访问WMI的类库,是通过WMI向外暴露的API。这些API是在系统安装WMI模块的时候安装的,通过他们我们能够能找到。
- WMI有一个存储库。用来存放提供程序提供的类信息。
- WMI有一个Service。WMI总是能够响应用户的访问,那是因为它有一个一直运行的Windows服务,名字叫Winmgmt。停止这个服务,所有对WMI的操作都将没有反应。
- WMI是可扩展的。WMI对资源的操作,取决于向它注册的提供程序。
- WMI在渗透测试中的价值在于它不需要下载和安装, 因为WMI是Windows系统自带功能。而且整个运行过程都在计算机内存中发生,不会留下任何痕迹。这一点是其它渗透测试工具所不能相比的。
- WMI允许用户通过一个统一的接口,用脚本语言访问操作系统的几乎任意一个部分。但不能直接访问Win32 API。
2、 常用命令
2.1、WMI信息收集
wmic product list brief |more //检索系统已安装的软件
wmic service list brief |more //搜索系统运行服务
wmic process list brief |more //搜索运行中的程序
wmic startup list brief |more //搜索启动程序
wmic netuse list brief |more //搜索共享驱动盘
wmic timezone list brief |more //搜索时区
wmic useraccount list brief |more //搜索用户帐户
wmic ntdomain list brief //搜索计算机域控制器
wmic logon list brief |more //搜索登录用户
wmic qfe list brief |more //搜索已安装的安全更新
2.2、WMI执行任务
WMIC不仅仅只是用于检索系统信息。在渗透测试中, 使用适当的命令,它也可以执行各种有用的任务。
Wmic product where "name like '%名称%' " get name //查找名称
Wmic product where name like "输入查找的名称" call uninstall //卸载程序
Wmic process where name=“XXX.exe” call terminate //停止运行程序/服务
创建时间:2021.07.28 更新时间