官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
关于CIMplant
CIMplant是WMImplant项目的C#实现,并扩展了原项目的相关功能,该工具 能够使用CIM或WMI来查询远程系统,并且可以使用用户提供的凭据或当前用户的会话来执行操作。
注意:某些命令仍然会使用PowerShell与WMI结合的方式来实现。
CIMplant使用了C#对@christruncer的WMImplant项目进行了重写和功能扩展,可以帮助广大研究人员从远程系统中收集数据、执行命令以及提取数据等等。该工具允许使用WMI或CIM来进行连接,并且需要目标系统中中的本地管理员权限来执行任务操作。
工具安装
为了方便起见,广大研究人员可以直接访问该项目的【Releases页面】来获取最新的构建版本,如果你想要手动构建的话,请参照下列步骤:
在Visual Studio中加载sln;
点击顶部菜单中的“Build”,然后选择构建解决方案;
工具使用
CIMplant.exe --help CIMplant.exe --show-commands CIMplant.exe --show-examples CIMplant.exe -s [remote IP address] -c cat -f c:\users\user\desktop\file.txt CIMplant.exe -s [remote IP address] -u [username] -d [domain] -p [password] -c cat -f c:\users\test\desktop\file.txt CIMplant.exe -s [remote IP address] -u [username] -d [domain] -p [password] -c command_exec --execute "dir c:\\"
工具使用演示
查看命令选项:【点我查看】
命令执行样例:【点我查看】
重要文件
cs:该文件是工具的核心文件,负责驱动整个工具的运行。
cs:该文件负责初始化CIM/WMI连接,并将连接传递给应用程序进行后续操作。
cs:包含了WMI命令中的所有函数代码。
cs:包含了CIM(IM)命令中的所有函数代码。
安全检测解决方案
当然,我们首先要注意的是初始的WMI或CIM连接。通常,WMI使用DCOM作为通信协议,而CIM使用的是WSMan(或WinRM)。对于DCOM,我们可以做的第一件事是通过端口135寻找初始TCP连接。然后,连接和接收系统将决定使用一个新的端口。对于WSMan,初始TCP连接使用的是端口5985。
接下来,你需要在事件查看器中查看Microsoft Windows WMI活动/跟踪事件日志。如果可能,搜索事件ID 11并在IsLocal属性上进行筛选。你还可以在Microsoft Windows WinRM/分析日志中查找事件ID 1295。
最后,你需要使用Win32_OSRecoveryConfiguration类查找对DebugFilePath属性的任何修改。
项目地址
CIMplant:【GitHub传送门】
参考资料
https://fortynorthsecurity.com/blog/cimplant-part-1-detections/
https://github.com/FortyNorthSecurity/WMImplant
https://docs.microsoft.com/en-us/windows/win32/wmisdk/about-wmi
- 0 文章数
- 0 关注者