Win WMI[1] 介紹及常用命令
1、WMI介紹
WMI(Windows Management Instrumentation,Windows 管理規范)是一項核心的 Windows 管理技術;用戶可以使用 WMI 管理本地和遠程計算機。
可以通過客戶端應用程序和腳本使用 WMI。 它提供一個基礎結構,使你能夠輕松發現和執行管理任務。 此外,你可以通過創建自己的 WMI 提供程序來添加到一組可能的管理任務。
- WMI作為一種規范和基礎結構,通過它可以訪問、配置、管理和監視幾乎所有的Windows資源,比如用戶可以在遠程計算機器上啟動一個進程;設定一個在特定日期和時間運行的進程;遠程啟動計算機;獲得本地或遠程計算機的已安裝程序列表;查詢本地或遠程計算機的Windows事件日志等等。
- WMI的默認端口:135
- WMI有一組API。使用任何語言來訪問WMI的類庫,是通過WMI向外暴露的API。這些API是在系統安裝WMI模塊的時候安裝的,通過他們我們能夠能找到。
- WMI有一個存儲庫。用來存放提供程序提供的類信息。
- WMI有一個Service。WMI總是能夠響應用戶的訪問,那是因為它有一個一直運行的Windows服務,名字叫Winmgmt。停止這個服務,所有對WMI的操作都將沒有反應。
- WMI是可擴展的。WMI對資源的操作,取決於向它注冊的提供程序。
- WMI在滲透測試中的價值在於它不需要下載和安裝, 因為WMI是Windows系統自帶功能。而且整個運行過程都在計算機內存中發生,不會留下任何痕跡。這一點是其它滲透測試工具所不能相比的。
- WMI允許用戶通過一個統一的接口,用腳本語言訪問操作系統的幾乎任意一個部分。但不能直接訪問Win32 API。
2、 常用命令
2.1、WMI信息收集
wmic product list brief |more //檢索系統已安裝的軟件
wmic service list brief |more //搜索系統運行服務
wmic process list brief |more //搜索運行中的程序
wmic startup list brief |more //搜索啟動程序
wmic netuse list brief |more //搜索共享驅動盤
wmic timezone list brief |more //搜索時區
wmic useraccount list brief |more //搜索用戶帳戶
wmic ntdomain list brief //搜索計算機域控制器
wmic logon list brief |more //搜索登錄用戶
wmic qfe list brief |more //搜索已安裝的安全更新
2.2、WMI執行任務
WMIC不僅僅只是用於檢索系統信息。在滲透測試中, 使用適當的命令,它也可以執行各種有用的任務。
Wmic product where "name like '%名稱%' " get name //查找名稱
Wmic product where name like "輸入查找的名稱" call uninstall //卸載程序
Wmic process where name=“XXX.exe” call terminate //停止運行程序/服務
創建時間:2021.07.28 更新時間