Собрать домен DC и другую информацию
wmic NTDOMAIN Получить DomainControllerAddress,DomainName,Roles
wmic /NAMESPACE:\rootdirectoryldap ПУТЬ ds_group GET ds_samaccountname
wmic /NAMESPACE:\rootdirectoryldap PATH ds_computer GET ds_samaccountname
полный список компьютерных систем wmic
wmic /namespace:\rootsecuritycenter2 path antivirusproduct GET displayName, productState, pathToSignedProductExe
найти файлы с паролем в имени
wmic DATAFILE, где “диск = ‘C:’ И имя типа ‘%password%'” ПОЛУЧИТЬ Имя, удобочитаемый, размер / ЗНАЧЕНИЕ
Классы или информация WMI также могут быть доступны через Get-WmiObject в PowerShell. Несколько полезных запросов:
Get-WmiObject -Namespace rootSecurityCenter2 -Class AntiVirusProduct
$VMAdapter=Get-WmiObject Win32_NetworkAdapter -Фильтр
‘Производитель КАК “%VMware%” ИЛИ Название КАК “%VMware%”‘
$VMBios=Get-WmiObject Win32_BIOS -Filter ‘Серийный номер LIKE
$VMToolsRunning=Get-WmiObject Win32_Process -Фильтр
wmic /NODE:”DOMAIN” /Namespace:\rootSecurityCenter2 Путь AntiVirusProduct Get *
wmic NTDOMAIN GET DomainControllerAddress,DomainName,Roles/VALUE
wmic /NAMESPACE:\rootdirectoryldap PATH ds_computer GET ds_dnshostname
Инструментарий управления Windows (WMI) — инструментарий управления Windows.
Инструментарий WMI, основанный на CIM, является открытой унифицированной интерфейсной системой доступа к широкому спектру объектов системы, устройств и приложений, функционирующих в ней, используемых для централизованного управления и слежения за работой различных частей компьютерной аудитории под управлением платформы Windows.
. Что бы просмотреть список всех доступных свойств, средства CMD, введите команду:
wmic BIOS получить /?
Аналогично можно найти справку для любого класса WMI
Алиасы
Хочу обратить внимание на то, что для удобства в консольной утилите WMIC, мы работаем не напрямую с классами WMI, а с их псевдонимами
# Все псевдонимы мы видим когда набираем
wмик /?
# Или отдельно выводим их на экран
Краткое описание списка псевдонимов wmic
Форматирование вывода
Так как по умолчанию wmic возвращает не форматированный ответ, то если не форматирование вручную, мы предполагаем определить хаотически разбросанные по окну консоли слова:
Лесма информативно, не правда ли?
Для того что бы прочитать читаемый вывод, попробуйте использовать такую команду:
Краткий список wmic BIOS
Краткий параметр выводит список параметров основных. Обычно не более 6 столбцов
Все типы форматов я смотрю такую команду:
wmic OS получить /format /?
Можно использовать функцию/формат, с широким типом формата:
wmic BIOS получить /format:list
Такой же вывод, как и в развитии, можно прочитать и прочитать следующим образом:
полный список wmic BIOS
Запуск и завершение приложений
вызов процесса wmic create ‘notepad.exe’
процесс wmic, где name=’notepad.exe’ удалить
Выполнение команды wmi на удаленных хостах
wmic /node: ОС «Сервер» получить заголовок
Получить модель платной платы
wmic baseboard получить продукт,производитель,версию,серийный номер
узнать разрядность системы
wmic /Node:%ComputerName% Path Win32_Processor Get AddressWidth /format:list
# Аналог команды для PoSh
(Get-WmiObject Win32_OperatingSystem). OSArchitecture
Получить программы из автозагрузки
Краткий список запуска wmic
узнать имяактивного пользователя
Просмотр списка пользователей компьютера
Просмотр списка принтеров удаленного компьютера
wmic /node: имя принтера Host0042
Получить информацию по оперативной памяти
wmic memorychip get BankLabel, DeviceLocator, Capacity, Speed
Этот инструмент командной строки действительно полезен как для тестирования на проникновение, так и для криминалистических задач
Предыдущая статья вызвала у читателей интерес к WMIC. Поэтому я решил написать статью, посвященную этому средству.
Если вы когда-либо писали сценарии для платформы Windows, вы, вероятно, сталкивались с API сценариев Windows Management Instrumentation (WMI), который можно использовать для перечисления всех видов информации.
Инструмент командной строки WMIC, по сути, является еще одним внешним интерфейсом для доступа к среде WMI с дополнительным преимуществом, заключающимся в том, что многочисленные запросы предопределены. Предопределенные запросы означают, что вам не обязательно тратить время на изучение языка запросов WMI (WQL), который синтаксически подобен SQL.
WMIC включен в стандартную установку Windows XP (за исключением Home edition) и Windows Server 2003. Хотя WMIC не включен в Windows 2000, вы все равно можете использовать клиент Windows XP или Server 2003 для удаленного запроса систем Windows 2000 и получить аналогичные результаты.
При первом запуске WMIC вы увидите сообщение о том, что WMIC устанавливается, но для установки не требуется носитель, и ничего не появится в списке «Установка и удаление программ».
Базовое использование WMIC
Краткий список группы wmic
, который вернет вывод, подобный этому:
Та же самая команда, запущенная для удаленной системы в другом домене, выглядит следующим образом:
, а результат равен
Обратите внимание, что таким образом вы можете выполнять ЛЮБУЮ команду WMIC по сети как средство сбора информации о хосте. Теперь, когда мы увидели основы, давайте перейдем к конкретным приложениям.
WMIC в тестировании уязвимостей и проникновения
При тестировании на уязвимости и проникновение ключевую роль играет отпечаток системы. Чем больше информации можно собрать о конкретной системе или группе систем, тем выше вероятность того, что эти системы могут быть скомпрометированы.
Кроме того, для стандартных конфигураций журнала событий и процессов аудита запросы WMIC не будут регистрироваться, поэтому все ваши перечисления могут выполняться в скрытом режиме.
Процессы
список процессов wmic
Обратите внимание, что некоторые встроенные функции WMIC также можно использовать в «кратком» режиме для отображения менее подробного вывода. Встроенный процесс является одним из них, поэтому вы можете получить более точный вывод с помощью команды:
Краткий список процессов wmic
вызов процесса wmic create “calc.exe”
процесс wmic, в котором вызов name=”calc.exe” завершается
процесс wmic, где name=”explorer.exe” вызывает setpriority 64
процесс wmic, где (Name=’svchost.exe’) получить имя, идентификатор процесса
список процессов wmic кратко найти “cmd.exe”
Системная информация и настройки
Вы можете получить список переменных среды (включая PATH) с помощью этой команды:
список окружения wmic
wmic /output:c:os.html os get /format:hform
wmic /output:c:product.html product get /format:hform
wmic /node: биос “HOST” получает серийный номер
wmic /node: базовая плата “HOST” получить продукт
wmic os, где buildnumber=”2600″ вызывает перезагрузку
полный список запуска wmic
wmic logicaldisk, где тип_диска=3 получить имя, свободное пространство, системное имя, файловую систему, размер, серийный номер тома
Пользователь и группы
список системных учетных записей wmic
wmic netlogin, где (имя типа “%skodo”) получить количество входов в систему
Управление исправлениями
Нужно знать, есть ли в системе отсутствующие исправления? WMIC может помочь вам узнать это с помощью этой команды:
список wmic qfe
Здесь QFE означает «Quick Fix Engineering». Результаты также включают даты установки, если это необходимо с точки зрения аудита.
Акции
wmic список nicconfig
wmic nic get macaddress
wmic nicconfig, где index=9 call enablestatic(“192.168.16.4”), (“255.255.255.0”)
wmic nicconfig, где index=9 call setgateways(“192.168.16.4”, “192.168.16.5”),(1,2)
wmic nicconfig, где index=9 вызов enablehcp
wmic nicconfig, где IPEnabled=’true’
Услуги
WMIC может вывести список всех установленных служб и их конфигураций с помощью этой команды:
список услуг wmic
Вывод будет включать полную команду, используемую для запуска службы, и ее подробное описание.
сервис wmic, где caption=”DHCP Client” вызывает changestartmode “Disabled”
wmic SERVICE WHERE StartMode=”Auto” ПОЛУЧИТЬ Имя, Состояние
wmic /output:c:services.htm /node:server1 полный список служб / format:htable
Служба Wmic получает заголовок, имя, режим запуска, состояние
служба wmic, где (имя, например, «Факс» ИЛИ имя, например, «Оповещатель») CALL ChangeStartMode Disabled
Служба Wmic, где (state=”running”) получает заголовок, имя, режим запуска, состояние
Конечно, это всего лишь выборки из десятков предопределенных псевдонимов в WMIC. Вы также можете выйти за пределы предопределенных псевдонимов, используя запросы WQL для сбора и установки любого из многих тысяч параметров, доступных через WMI.
WMIC в криминалистике
В криминалистике часто важно получить как можно больше информации о работающей системе, прежде чем ее можно будет отключить. Вы также хотели бы собирать эту информацию, сохраняя при этом точные записи, которые учитывают ваши собственные действия и оставляют как можно меньше следов в системе. Хотя WMIC на самом деле не разрабатывался с учетом этого, он определенно работает.
Поскольку WMIC включен по умолчанию в большинстве систем Windows и может выполняться удаленно, это делает его еще более желательным.
Еще одной интересной особенностью WMIC является его способность записывать выполняемую во время выполнения команду и конфигурацию во время выполнения в один XML-файл. Записанный сеанс может выглядеть примерно так:
Конечно, поскольку WMIC не был разработан как записывающее устройство, есть некоторые предостережения относительно использования XML. Во-первых, вы можете использовать только вывод XML, другие форматы не определены.
Журналы событий
wmic ntevent, где (сообщение типа “%logon%”) краткое описание списка
wmic nteventlog, где (описание вроде “%secevent%”) вызывает cleareventlog
Получить список событий предупреждений и ошибок не из системных журналов или журналов безопасности
Ссылки
В этом примере я покажу вам 20 полезных примеров команд wmic в Windows. Утилита wmic предоставляет интерфейс командной строки для инструментария управления Windows (WMI). Любители командной строки Windows могут использовать эту утилиту для запроса записей WMI. Мы увидим несколько реальных примеров использования команды wmic в следующем разделе. Подробнее о документах Microsoft.
27 примеров полезных команд net для управления ресурсами Windows
Как отобразить состояние всех глобальных переключателей в Windows
Если вы хотите проверить состояние всех глобальных переключателей в Windows, вам нужно использовать контекстную команду wmic, как показано ниже.
Как получить серийный номер вашей системы
Если вы хотите проверить серийный номер вашей системы, вам нужно использовать команду wmic bios get serialnumber, как показано ниже.
Как проверить HotFixID всех установленных обновлений в Windows
Если вы хотите проверить HotfixID всех установленных обновлений в Windows, вам нужно использовать команду wmic qfe list, как показано ниже.
Обратите внимание, что некоторые обновления могут отображаться в разделе «Просмотр установленных обновлений», но не отображаться в выводе списка wmic qfe.
Как получить список всех установленных приложений в Windows
Если вы хотите получить список всех установленных приложений в вашей системе Windows, вам нужно использовать команду wmic product get name, как показано ниже.
Как подсчитать количество установленных обновлений в Windows
Если вы хотите проверить общее количество ядер ЦП в вашей системе, вам нужно использовать команду wmic cpu get numberofcores, как показано ниже. Как видите, в моей системе 4 ядра процессора.
Как найти идентификатор процесса запущенной программы в Windows
Если вы хотите проверить версию System Bios, вам нужно использовать команду wmic bios get version, как показано ниже.
Как проверить все журналы, связанные с Explorer
Если вы хотите проверить все журналы, связанные с проводником, вам нужно использовать wmic ntevent, где (сообщение типа «%explorer%») перечислить краткую команду, как показано ниже.
Как получить идентификатор продукта вашей системы с помощью команды wmic
Если вы хотите проверить ProductID вашей системы, вам нужно использовать команду wmic csproduct get name, как показано ниже.
Как получить список всех запущенных процессов с помощью команды wmic
Если вы хотите проверить все текущие запущенные процессы, вам нужно использовать команду списка процессов wmic, как показано ниже.
Как получить путь к исполняемому файлу запущенного процесса
Если вы хотите получить путь к исполняемому файлу для всех запущенных процессов, вам нужно использовать команду wmic process get ProcessID,ExecutablePath, как показано ниже.
Как получить всю информацию о процессоре системы
Если вы хотите проверить всю информацию о системном процессоре, вы можете использовать команду wmic CPU Get DeviceID,NumberOfCores,NumberOfLogicalProcessors, как показано ниже.
Как узнать версию ОС Windows с помощью команды wmic
Если вы хотите проверить версию ОС Windows, вам нужно использовать команду wmic os get version, как показано ниже.
Как получить статус системного слота с помощью команды wmic
Если вы хотите проверить состояние своих системных слотов, вы можете использовать команду wmic systemslot get slotdesignation,currentusage,description,status, как показано ниже.
Как получить статус системного датчика с помощью команды wmic
Если вы хотите получить статус системного датчика, вам нужно использовать команду wmic temperature get deviceid,name,status, как показано ниже.
Как получить список всех системных портов ввода-вывода с помощью команды wmic
Если вы хотите проверить все системные порты ввода-вывода, вам нужно использовать команду wmic port get name, как показано ниже.
Как проверить все доступные параметры с помощью команды wmic
Если вы хотите проверить все параметры, доступные с помощью команды wmic, вам нужно использовать wmic /? команду, как показано ниже.
