WMI

wmi(Windows Management Instrumentation)는 DCOM을 사용하여 원격 컴퓨터의 시스템을 관리하고 엑세스 할 수 있는 프로토콜입니다.

관리자 권한이 있다면 wmi 통신을 통해 Win32_Process.Create API를 호출하여 원격 명령을 실행하는 것이 가능합니다.

Abuse

# wmi를 통한 원격 명령 실행
wmic /node:'<target-ip>' /user:'<username>' /password:'<password>' process call create 'cmd.exe /c whoami >c:\windows\temp\whoami.txt'

wmi 명령 실행 결과는 출력되지 않으며, 출력 리다이렉션의 결과는 wmi 서버에 생성됩니다.

References

WMI에 대하여 - Win32 appsMicrosoftLearn

PreviousSMB NextDCOM

Last updated 2 months ago