使用WMI和SMB远程提取Windows系统凭证

"远程提取Windows系统的系统凭证是一个红队行动中的常见需求，特别是在有权限的情况下，希望通过隐蔽方式获取更多凭据。本文介绍了一种利用WMI和SMB的方法，涉及的端口包括445/TCP（SMB）、135/TCP（DCOM）、5985/TCP（WinRM）以及5986/TCP（基于SSL的WinRM）。" 在进行远程提取Windows系统凭证的过程中，首先需要满足一定的前提条件。攻击者需要能够访问目标系统的一个开放端口，如135/TCP（DCOM），并且已经在目标系统上获得了管理员级别的权限。通常，攻击者会在本地运行PowerShell，使用DCOM与远程主机建立新的CIM（Common Information Model）会话。 关键步骤如下： 1. **利用WMI创建卷影副本**：Windows Management Instrumentation (WMI) 是一个强大的管理系统组件，可以用来远程执行任务。在这里，它被用来在远程主机上创建系统卷影副本。卷影副本是系统状态的一个快照，包含了系统关键文件，如`SYSTEM`、`SECURITY`和`SAM`。这些文件包含了用户的账号信息和密码哈希，是提取凭证的关键。 2. **通过SMB下载凭据文件**：Server Message Block (SMB) 协议允许文件和打印机共享，攻击者可以通过开放的445/TCP端口下载之前通过WMI创建的卷影副本中的凭证文件。 3. **在域外或使用其他凭据**：如果攻击者不在目标域内或者想使用不同的凭据访问，可以使用`runas.exe`命令。`runas.exe /netonly /user:MyDomain\MyUser powershell.exe`将启动一个新的PowerShell实例，该实例在需要认证时会使用指定的域用户账户。 4. **安全性考虑**：由于这种操作可能引起蓝队的注意，因此必须以最隐蔽的方式进行。使用本机的Windows工具可以减少被检测的风险，因为这些工具通常是系统管理员日常运维的一部分。 5. **工具推荐**：文章提到了两个GitHub项目，`wesng`和`fakelogonscreen`，分别用于提权辅助和伪造系统登录页面，这些工具在红队行动中可能会有用。 远程提取Windows系统凭证是一个复杂的过程，需要对Windows操作系统、网络协议以及安全攻防有深入理解。通过巧妙利用系统内置工具和通信协议，攻击者可以尽可能地保持低调，从而更有效地达到其目的。然而，这样的行为也凸显了加强网络安全防护和监控的重要性，以防止敏感信息被非法获取。