笔者在阅读了WMI的微软官方文档以及国内优秀前辈的介绍文章后,获益匪浅,WMI是一个较为老的知识点了,但是对于想要简单理解WMI的同学来说,对于一个新的知识点进行理解最好是能够有生动形象的例子进行抛砖引玉式的解读,将晦涩难懂的知识点吃透、理解后用简单的话语将其作用表达清楚,使其读者能够快速的理解并为读者接下来深入理解打好基础,以便在攻防中更好的利用WMI,所以此篇文章笔者使用通俗的话语将WMI表达清楚,在下文中对于基础薄弱的同学对于COM组件、Provider方法等专业名词可不做深度理解,只需要知道是WMI这个庞大工具的零件罢了,此文不足之处,望读者海涵。
WMI是Windows在Powershell还未发布前,微软用来管理Windows系统的重要数据库工具,WMI本身的组织架构是一个数据库架构,WMI 服务使用 DCOM(TCP 端口135)或 WinRM 协议(SOAP–端口 5985,如下图
此图清晰明了的显示了WMI基础结构与 WMI 提供者和托管对象之间的关系,它还显示了 WMI 基础结构和 WMI 使用者之间的关系,同样我们也可以使用下图来理解。
它位于WMI构架的最顶层,是WMI技术使用的载体。
这些WMI的使用者,可以查询、枚举数据,也可以运行Provider的方法,还有WMI事件通知。当然这些数据操作都是要有相应的Provider来提供。
WMI基础结构是Windows系统的系统组件。它包含两个模块:包含WMI Core(WMI核心)的WMI Service(WMI服务)(Winmgmt)和WMI Repository(WMI存储库)。WMI存储库是通过WMI Namespace(WMI命名空间)组织起来的。在系统启动时,WMI服务会创建诸如root\default、root\cimv2和root\subscription等WMI命名空间,同时会预安装一部分WMI类的定义信息到这些命名空间中。其他命名空间是在操作系统或者产品调用有关WMI提供者(WMI Provider)时才被创建出来的。简而言之,WMI存储库是用于存储WMI静态数据的存储空间。WMI服务扮演着WMi提供者、管理应用和WMI存储库之间的协调者角色。一般来说,它是通过一个共享的服务进程Svchost来实施工作的。当第一个管理应用向WMI命名空间发起连接时,WMI服务将会启动。当管理应用不再调用WMI时,WMI服务将会关闭或者进入低内存状态。如我们上图所示,WMI服务和上层应用之间是通过COM接口来实现的。当一个应用通过接口向WMI发起请求时,WMI将判断该请求是请求静态数据还是动态数据。
WMI提供者是一个监控一个或者多个托管对象的COM接口。一个托管对象是一个逻辑或者物理组件,比如硬盘驱动器、网络适配器、数据库系统、操作系统、进程或者服务。和驱动相似,WMI提供者通过托管对象提供的数据向WMI服务提供数据,同时将WMI服务的请求传递给托管对象。
在Powershell未发布前用来管理Windows 2000、Windows95、Windows98、WindowsNT等操作系统 ,当然如今的所有Windows系统依旧可以使用WMI来进行管理。
注意:
在上图中我我们可以发现也可以理解,不论Powershell、VBScript或者其他什么语言,其本质还是使用.NET来访问WMI的类库,都是因为WMI向外暴露的一组API,然后进行管理,Powershell的发布只是让我们管理的方式多了一种,本质上没有改变去使用WMI。
对于Windows运维管理功能主要是:访问本地主机的一些信息和服务,可以管理远程计算机(当然你必须要拥有足够的权限,并且双方开启WMI服务,且135端口的防火墙策略是入站出站允许的),比如:重启,关机,关闭进程,创建进程等。可以自定义脚本来进行自动化运维,十分方便,例如可以使用wmic、wbemtest工具。WMIC命令解释。
Powershell查询命名空间
Get-WmiObject -Class __namespace -Namespace root | select name
Get-WmiObject -Class Win32_BIOS
Get-WmiObject -Class Win32_Operatingsystem
Get-WmiObject -Namespace root\SecurityCenter2 -Class AntiVirusProduct
#注意:在旧版中查询杀软的WMI命名空间为SecurityCenter
注意: 这里Powershell操作WMI的对象使用的是内置模块Get-WmiObject,以及查询的类为Win32_Service类,Win32_Service的其他类在官方文档中已经罗列详细:Win32类计算机硬件类、操作系统类等,但是要注意Win32_Service不是唯一可以操作WMI的类,以下类可以交替使用。
#查询windows机器版本和服务位数和.net版本
wmic os get caption
wmic os get osarchitecture
wmic OS get Caption,CSDVersion,OSArchitecture,Version
#查询本机所有盘符
fsutil fsinfo drives
shell wmic logicaldisk list brief
shell wmic logicaldisk get description,name,size,freespace /value
#查看系统中⽹卡的IP地址和MAC地址
wmic nicconfig get ipaddress,macaddress
#⽤户列表
wmic useraccount list brief
#查看当前系统是否有屏保保护,延迟是多少
wmic desktop get screensaversecure,screensavertimeout
#域控机器
wmic ntdomain list brief
#查询杀软
wmic /namespace:\\root\securitycenter2 path antispywareproduct GET displayName,productState, pathToSignedProductExe && wmic /namespace:\\root\securitycenter2 path antivirusproduct GET displayName,productState, pathToSignedProductExe
#查询启动项
wmic startup list brief |more
#获取打补丁信息
wmic qfe list
#启动的程序
wmic startup list brief
#启动的程序
wmic startup list full
对于网络安全人员在攻防当中,利用WMI进行横向移动、权限维持、权限提升、包括免杀都可以进行利用,这个在接下来的三个不同的篇章中进行介绍。