freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

如何使用CIMplant收集远程系统中的数据并执行命令
2021-05-22 14:30:33

关于CIMplant

CIMplant是WMImplant项目的C#实现,并扩展了原项目的相关功能,该工具 能够使用CIM或WMI来查询远程系统,并且可以使用用户提供的凭据或当前用户的会话来执行操作。

注意:某些命令仍然会使用PowerShell与WMI结合的方式来实现。

CIMplant使用了C#对@christruncerWMImplant项目进行了重写和功能扩展,可以帮助广大研究人员从远程系统中收集数据、执行命令以及提取数据等等。该工具允许使用WMICIM来进行连接,并且需要目标系统中中的本地管理员权限来执行任务操作。

工具安装

为了方便起见,广大研究人员可以直接访问该项目的【Releases页面】来获取最新的构建版本,如果你想要手动构建的话,请参照下列步骤:

在Visual Studio中加载sln;

点击顶部菜单中的“Build”,然后选择构建解决方案;

工具使用

CIMplant.exe --help

CIMplant.exe --show-commands

CIMplant.exe --show-examples

CIMplant.exe -s [remote IP address] -c cat -f c:\users\user\desktop\file.txt

CIMplant.exe -s [remote IP address] -u [username] -d [domain] -p [password] -c cat -f c:\users\test\desktop\file.txt

CIMplant.exe -s [remote IP address] -u [username] -d [domain] -p [password] -c command_exec --execute "dir c:\\"

工具使用演示

查看命令选项:点我查看

命令执行样例:点我查看

重要文件

cs:该文件是工具的核心文件,负责驱动整个工具的运行。

cs:该文件负责初始化CIM/WMI连接,并将连接传递给应用程序进行后续操作。

cs:包含了WMI命令中的所有函数代码。

cs:包含了CIM(IM)命令中的所有函数代码。

安全检测解决方案

当然,我们首先要注意的是初始的WMI或CIM连接。通常,WMI使用DCOM作为通信协议,而CIM使用的是WSMan(或WinRM)。对于DCOM,我们可以做的第一件事是通过端口135寻找初始TCP连接。然后,连接和接收系统将决定使用一个新的端口。对于WSMan,初始TCP连接使用的是端口5985。

接下来,你需要在事件查看器中查看Microsoft Windows WMI活动/跟踪事件日志。如果可能,搜索事件ID 11并在IsLocal属性上进行筛选。你还可以在Microsoft Windows WinRM/分析日志中查找事件ID 1295。

最后,你需要使用Win32_OSRecoveryConfiguration类查找对DebugFilePath属性的任何修改。

项目地址

CIMplant:【GitHub传送门

参考资料

https://fortynorthsecurity.com/blog/cimplant-part-1-detections/

https://github.com/FortyNorthSecurity/WMImplant

https://docs.microsoft.com/en-us/windows/win32/wmisdk/about-wmi

https://www.dmtf.org/standards/cim

本文作者:, 转载请注明来自FreeBuf.COM

# 系统安全 # 数据安全 # WMI # CIM
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑