WMI了解

什么是WMI

   WMI就是Windows Management Instrumentation(Windows管理规范)。它是Windows中的一个核心管理技术。
   WMI是一项核心的Windows管理技术,WMI作为一种规范和基础结构,通过它可以访问、配置、管理和监视几乎所有的Windows资源,是Microsoft基于Web的企业管理(WBEM)和 Desktop Management Task Force(DMTF)工业标准的实现。就是一种基于标准的系统管理的开发接口,这组接口用来控制管理计算机。它提供了一种简单的方法来管理和控制系统资源。
   WMI 为访问大量的 Windows 管理数据和方法的提供了一个统一的机制。WMI通过脚本、C++程序接口、.NET类(系统管理)和命令行工具(WMIC)提供了对这个信息的访问。WMI的功能还包括事件、远程、查询、查看、计划和实施用户扩展及更多内容。

WMI对很多人都有用:
    管理员可使用 WMIC 的命令行管理能力。
    脚本程序员可使用 WMI 脚本来自动进行任务管理。
    通过编写一个 WMI 支持程序,系统开发人员可使用 WMI 发布他们的检测工具。
    通过编写一个 WMI 支持程序,应用程序开发人员可使用WMI发布他们的应用程序管理检测工具。
    使用丰富的查询和事件特性,管理应用程序(如监视器)的开发人员可使用WMI访问Windows工具。

    注:Windows 资源 — 例如磁盘、事件日志、文件、文件夹、文件系统、网络组件、操作系统设置、性能数据、打印机、进程、注册表设置、安全性、服务、共享、用户、组等等。



WMI入侵

    从WMI本来的功能看,它是为了让计算机的管理更容易,同时方便管理员远程操作系统而产生的,那么它又怎么会为“菜鸟”级的入侵者提供方便呢?
    一般情况下,在本地计算机上执行的WMI操作也可以在远程计算机上执行,只要用户拥有该计算机的管理员权限。如果用户对远程计算机拥有权限并且远程计算机支持远程访问,那么用户就可以连接到该远程计算机并执行拥有相应权限的操作。
    WMI能够成为远程控制下的一个合法通道,有了这个通道,入侵者不需要对自己进行伪装,不必再为探测出对方账号的密码为空后,找不到连接对方系统的通道而发愁。只要进行简单几个步骤就可以轻易地入侵到别人的电脑中。下面,我们就来看看,到底该如何利用WMI通道。

WMI被利用为虎作伥
在网上,有很多利用WMI的小工具,这里我们就以rots.vbs工具进行简单的演示,看一个“菜鸟”黑客如何轻易地入侵。
1.扫描135端口
   要寻找可以通过WMI入侵的远程计算机,只要对135端口进行扫描就可以了。因为WMI服务默认打开的就是135端口。我们本次实例采用的是 NTscan扫描工具,因为它不但可以对IPC$、SMB、WMI这些信息进行扫描,同时还可以对扫描到的远程账户进行弱口令猜测,功能相对来说比较强大。
   运行NTscan,在程序窗口的“配置”区域中进行设置。首先在“起始IP”和“结束”选项中输入扫描的IP地址范围,接着选择“WMI扫描”选项,并且在“扫描打开端口的主机”选项后输入“135”,最后点击“开始”按钮就开始进行扫描。

2.开启终端服务
    找到可以入侵的远程计算机以后,就可以开始入侵操作了。首先使用的工具是一个名为rots.vbs的脚本程序,通过它可以开启远程计算机的终端服务。脚本会自动判断目标系统类型,如果不是Windows 2000 Server及以上版本的系统,脚本就会提示是否要取消操作。因为Windows 2000 Pro以下版本不能安装终端服务。
    然后是开启终端服务。开启工具的使用方法非常简单,命令格式为:cscript rots.vbs <目标IP> <用户名> <密码> [服务端口] [自动重启选项]
    其中,[服务端口]和[自动重启选项]为可选参数,默认情况下,程序开启的终端服务端口为3389,如果用户需要修改,在[服务端口]选项中填入你要的端口即可,而[自动重启选项]选项则是在开启终端服务以后重启系统用的。
    举个例子:cscript.exe rots.vbs 192.168.0.6 Administrator "" 4466 /r
    上面这段实例的意思是开启192.168.0.6这台远程计算机的终端服务,并且将端口更改为4466,服务安装完成后自动重启。

屏闭135端口防御入侵
    从上面的介绍大家都可以看出,整个过程中使用的端口都是135。所以为了防止别人通过WMI进行入侵,我们可以使用防火墙对135端口进行屏蔽,这样就可以达到防范类似的入侵。用户加强自己的账号密码强度,也可以有效防范入侵。
    关闭135端口的方法
    我们使用到十六进制的编辑器,比如:WINHEX、UltraEdit等软件。运行UltraEdit,通过工具栏上的“打开文档”按钮找到系统 SYSTEM32文件夹下的rpcss.dll。接着点击“搜索”菜单中的“查找”命令,在弹出的窗口中查找“3100330035”这个字符串,找到后将它替换为“3000300030”,并另存为其他的文件目录中,建议保存在C盘根目录下。
    重新启动系统,用启动盘启动到DOS状态下,进入C盘后运行:copy rpcss.dll c:"windows"system32"rpcss.dll,然后重新启动计算机,就会发现135端口已经被关闭。
    使用网络防火墙也可以通过端口限制的手段进行屏蔽135端口。我们以天网网络防火墙为例。打开天网防火墙界面,依次点击“IP规则管理→增加规则 ”,然后在弹出的窗口界面中,在数据包方向中选择“接收或者发送”,在数据包类型中选择“TCP”,最后在本地端口中输入“135”,然后就是确定退出,最后保存规则即可。以后如果有数据从135端口进行传输,天网就会自动进行拦截。

你可能感兴趣的:(WMI了解)