Envoltório WMA do Comando WMI
Ao fazer investigações de baixo impacto e outras atividades similares, você pode querer minimizar o que está escrito no disco / óbvio. Esta ferramenta nos permite executar comandos via WMI e obter informações que não estão disponíveis de outra forma por este canal.
Ao fazer investigações de baixo impacto e outras atividades similares, você pode querer minimizar o que está escrito no disco / óbvio. Esta ferramenta nos permite executar comandos via WMI e obter informações que não estão disponíveis de outra forma por este canal.
Objetivo
Um pequeno utilitário que usa apenas WMI para
executar comandos de shell de comandos
capturar stdout a partir desses comandos e escrever para o registro
lido e, em seguida, excluir do registro de
impressão para local stdout
Design
A ferramenta que nós incluímos:
um subconjunto muito pequeno do NCC Group interno Execução do
comando da biblioteca central (WMICore) (WMIcmd)
Uso
C: \ Data \ NCC \! Code \ Git.Public \ WMIcmd \ WMIcmd \ bin \ Debug> WMIcmd.exe --help
NCC Group WMIcmd 1.0.0.0
Lançado em AGPL
-h, --host Host (endereço IP ou hostname - default: localhost)
-u, --username Nome de usuário para autenticar com
-p, --password Senha para autenticar com
-d, - -domínio Domínio para autenticar com
-v, - Vérbose (Padrão: Falso) Imprime todas as mensagens para a
saída padrão .
-c, --Command (Padrão:) Comando para executar, por exemplo, "nestat-ano"
-s, --CommandSleep (Padrão: 10000) Comando de espera em milissegundos -
aumenta se obtendo saída truncada -
Ajude a exibir esta tela de ajuda.
Exemplo - uma máquina não associada ao domínio
Nota: use as credenciais administrativas
WMIcmd.exe -h 192.168.1.165 -d nome do host -u localadmin -p theirpassword -c "netstat -aum"
Exemplo - domínio unido à máquina
Nota: use credenciais administrativas
WMIcmd.exe -h 192.168.1.165 -d domínio -u domainadmin -p theirpassword -c "netstat -an"
Exemplo de saída esperada
Nota: use credenciais administrativas
C: \ Data \ NCC \! Code \ Git.Public \ WMIcmd \ WMIcmd \ bin \ Debug> WMIcmd.exe -d win10host - h win10host -u superusuário -p senha -c "netstat"
[!] Conectando com superusuário
[i] Ligar a win10host
[i] Conectado
[i] do comando: netstat
[i] corrente de comando ...
[i] Obtendo stdout do registro do SOFTWARE \
[i] Saída de comando completo recebida
Conexões ativas
Proto Endereço local Endereço externo Estado
TCP 0.0.0.0:135 0.0.0.0:0 ESCUTA
TCP 0.0.0.0:445 0.0.0.0:0 ESCUTA
TCP 0.0.0.0:5357 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5985 0.0.0.0:0 LISTENING
TCP 0.0.0.0:7680 0.0.0.0:0 ESCUTA
TCP 0.0.0.0:18800 0.0.0.0:0 ESCUTA
TCP 0.0.0.0:47001 0.0.0.0:0 ESCUTA
TCP 0.0.0.0:49152 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49153 0.0.0.0:0 ESCUTA
TCP 0.0.0.0:49154 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49664 0.0.0.0:0 ESCUTA
TCP 0.0.0.0:49665 0.0.0.0:0 ESCUTA
TCP 0.0.0.0:49666 0.0.0.0:0 ESCUTA
TCP 0.0 .0.0: 49667 0.0.0.0:0 LISTENING
TCP 0.0.0.0:49668 0.0.0.0:0 ESCUTA
TCP 0.0.0.0:49669 0.0.0.0:0 ESCUTA
TCP 0.0.0.0:49671 0.0.0.0:0 ESCUTA
TCP 0.0.0.0 : 49713 0.0.0.0:0 LISTENING
.. snip. aqui