Tutoriales

Puerto C # de WMImplant usando CIM o WMI

Puerto C # de WMImplant que usa CIM o WMI para consultar sistemas remotos. Puede utilizar las credenciales proporcionadas o la sesión del sucesor presente.

Nota: Algunos comandos usan PowerShell en combinación con WMI, marcados con ** im --show-commands Mando.

Preámbulo

CIMplant es una reescritura y extensión de C # @christruncerde WMIImplant. Le permite compendiar datos a través de un sistema remoto, ejecutar comandos, exfiltrar datos y más. La utensilio permite conexiones a través de Instrumental de despacho de Windows, WMI o el Maniquí de interfaz popular, CIM; más precisamente Windows Management Infrastructure, MI. CIMplant requiere derechos de administrador tópico en el sistema de destino.

Configurar

Probablemente sea más obvio usar la lectura que creó en los lanzamientos. Sin incautación, tenga en cuenta que se compila en modo de depuración. Si desea crear la opción usted mismo, siga los pasos a continuación.

  1. Cargue CIMplant.sln en Visual Studio
  2. Vaya a Construir en la parte superior y luego a Construir opción si no desea realizar cambios

usar

CIMplant.exe – Ayuda
CIMplant.exe: mostrar comandos
CIMplant.exe – Mostrar ejemplos
CIMplant.exe -s [remote IP address] -c cat -fc: usuarios sucesor escritorio archivo.txt
CIMplant.exe -s [remote IP address] -u [username] -D [domain] -pag [password] -c cat -fc: usuarios prueba escritorio archivo.txt
CIMplant.exe -s [remote IP address] -u [username] -D [domain] -pag [password] -c command_exec – ejecuta «dir c: «

Algunos comandos aperos

Algunos ejemplos de comandos de uso

Cobalt Strike Execute Assembly

Quería codificar CIMplant para que pudiera estilarse en el ensamblaje de ejecución para que todo se empaquetara en un ejecutable y se cargara de guisa reflectante. Debería poder ejecutar todos los comandos a través de Beacon sin problemas. ¡Disfrutar!

Archivos importantes

  1. Program.cs

Este es el cerebro de la operación, el conductor del software.

  1. Connector.cs

Aquí es donde se establecen las primeras conexiones CIM / WMI y se pasan al resto de la aplicación.

  1. EjecutarWMI.cs

Todos los códigos de función para los comandos WMI

  1. ExecuteCIM.cs

Todos los códigos de función para los comandos CIM (MI)

inspección

Lo primero que queremos memorizar es, por supuesto, la conexión original WMI o CIM. En caudillo, WMI usa DCOM como protocolo de comunicación, mientras que CIM usa WSMan (o WinRM). Esto se puede cambiar para CIM y está en CIMplant, pero repasemos los títulos predeterminados por ahora. Para DCOM, primero podemos apañarse conexiones TCP iniciales Puerto 135. Los sistemas de conexión y admisión deciden entonces sobre un nuevo puerto muy detención que variará mucho. La conexión TCP original está cerrada para WSMan Puerto 5985.

Lo futuro que debe mirar es el registro de eventos de Microsoft-Windows-WMI-Activity / Trace en el Visor de eventos. Apañarse Id. De evento 11 y filtrar en la propiedad IsLocal si es posible. Tu tambien puedes apañarse Id. De suceso 1295 en el protocolo Microsoft Windows WinRM / Analytic.

A posteriori de todo, desea difundir cambios en el DebugFilePath Propiedad con el Win32_OSRecoveryConfiguration Clase. Para obtener información más detallada sobre la detección, consulte la Parte 1 de nuestra serie de blogs aquí: CIMplant Parte 1: Detectando una implementación C # de WMImplant

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba