文章总结: 本文介绍了WindowsServer2016及以上版本默认存在的WMI类MSFT_MTProcess,其CreateProcess方法可替代Win32_Process进行横向移动,CreateDump方法可转储lsass.exe等进程以获取凭据。文章详述了将其移植到工作站的步骤,并提供了WMI_Proc_Dump.py和mtprocess.py两个工具,展示了利用该类进行远程执行与内存转储的技术实现。 综合评分: 95 文章分类: 红队,内网渗透,渗透测试
探索 WMI
刨洞安全团队
刨洞安全团队
2025年9月19日 12:29 广东
多年来,Win32_Process 一直是远程命令执行的首选 WMI 类。在这篇文章中,我们将介绍一个功能类似于 Win32_Process 并提供更多功能的新 WMI 类。
我喜欢不时地在不同版本的 Windows 中查看 Windows 管理规范 (WMI) 类,看看是否存在任何有趣的类和方法来执行特定操作。我寻找的其中一件事是可用于一般后渗透能力的方法。
为了更深入地探索 WMI 的新机会,我们需要对我们已经了解的横向移动等技术有一个概念。当前的类及其方法包括:
- Process – Win32_Process (Create)
- Service – Win32_Service (Create/StartService or Change)
- Job – Win32_ScheduledJob (Create)
- Task – PS_ScheduledTask (New)
- Product – Win32_Product (Install)
- Performance – Win32_PerfData/Win32_PerfRawData
- Custom/Malicious WMI Provider
- Derived Class
- Event Subscription
在搜索过程中,我发现了一些有趣的类及其方法,它们扩展了上述类。由于其他一些潜在的候选类尚未完全成熟,我目前只介绍其中一个。
MSFT_MTProcess
MSFT_MTProcess 是我见过的最接近 Win32_Process 的 WMI 类。Win32_Process 是 WMI 横向移动的典型示例,也是大多数人在讨论 WMI 横向移动时想到的。
MSFT_MTProcess 有一个名为 CreateProcess 的方法,它接受一个命令行参数,与 Win32_Process 非常相似。然而,这个类的一个大缺点是它只存在于 Windows Server 2016 及更高版本上。这意味着在尝试向工作站进行横向移动时它不可用,但它会像 Win32_Process 一样触发给定二进制文件/文件的执行。
它的优点是设置与 Win32_Process 一样简单直接,只需将参数传递给二进制文件,而不像 Win32_PerfData 那样需要一些设置。这个特定的类位于 .\Root\Microsoft\Windows\ManagementTools 命名空间中。
MSFT_MTProcess Part 2
MSFT_MTProcess 的第二个有趣方法是 CreateDump。您可以利用这个类来创建给定进程的转储。如果您想在不添加任何新工具的情况下远程(或本地)创建进程转储,那么您可以使用 MSFT_MTProcess 的 CreateDump 方法。
同样,这个类只存在于 Windows Server 2016 或更高版本上。这意味着如果您想获取每个人最喜欢的进程(即 lsass.exe)的进程转储并将其脱机以提取数据,您可以做到。
这个类是否提供了一种有趣或新颖的进程转储方式?不。这个类遵循与任务管理器相同的技术,您可以在任务管理器中右键单击一个进程并创建进程转储。这会加载 dbghelpd.dll 并对您提供的进程实例调用 MiniDumpWriteDump。这确实有道理,因为这个 WMI 提供程序被称为任务管理器提供程序;但是进程执行链略有不同。不是任务管理器加载 DLL,而是 WmiPrvSe 完成加载并进行函数调用。
工作站上的 MSFT_MTProcess
我确实遗漏了上面关于 MSFT_MTProcess 的一个重要说明。早些时候,我曾说过它只适用于 Windows Server 2016 及更高版本。默认情况下,这仍然是正确的。
但是,我们也可以让它在 Windows 工作站操作系统上运行。这主要有两个组成部分。首先是提供程序动态链接库 (DLL);这个 WMI 类提供程序是 mttmprov.dll。其次是 MOF 文件,它将用于 WMI 类的所有参数和相关数据。通过几个步骤,我们可以将这两个提供的文件安装到 Windows 10/11 主机上,并通过该类前面提到的方法获得转储进程或执行程序的功能。
首先,我们将提供程序 DLL 和 MOF 文件写入目标主机上的 C:\Windows\System32\wbem。然后,我们将安装 MOF 文件,以便在 WMI 数据库中创建该类并使其可用。为此,我们可以使用类似以下命令:
mofcomp.exe C:\Windows\System32\wbem\mttmprov.mof
从技术上讲,我们不必使用 mofcomp。我们可以使用纯 WMI 来完成此操作,但这样做会遇到问题。最后,我们需要通过创建一些注册表项来手动注册 COM CLSID。完成所有这些步骤后,该类即可供使用。
整个过程类似于安装上述已知横向移动技术列表中提到的恶意 WMI Provider;然而,它并非公然恶意,而是一个现有的合法 Windows WMI Provider,很像 Win32_Process 的 Provider。
工具
既然上面列出了一个新的可用类,如果没有可用的工具,那它就不会很有用。我创建了两个工具,它们实现了上述类以及更多功能:WMI_Proc_Dump.py 和 mtprocess.py。
WMI_Proc_Dump.py 是一个工具,它使用 MSFT_MTProcess 类在远程目标为 Windows Server 2016 或更高版本(或已安装 MT Process 提供程序的 Windows 工作站操作系统)时转储进程。这将调用 MSFT_MTProcess 来转储进程,该进程会自动将
Mtprocess.py 是发布的第二个脚本,它实现了 MSFT_MTProcess 类的 CreateProcess 方法。此外,该脚本提供了一种自动方式,可以将 MSFT_MTProcess 类安装到工作站主机。
此实现的一个主要缺点是,为了远程完成此操作,我使用 Win32_Process 在 MOF 文件上调用 mofcomp.exe。这有点像先有鸡还是先有蛋的问题,因为添加 MSFT_MTProcess 的目的是为了摆脱 Win32_Process。此外,MOF 文件将命名空间从 .\Root\Microsoft\Windows\ManagementTools 更改为 .\Root\CIMv2,因为该命名空间在 Windows 工作站操作系统上不存在。
工具地址:WMI_Proc_Dump:https://github.com/0xthirteen/WMI_Proc_Dumpmtprocess:https://github.com/0xthirteen/mtprocess
结论
Win32_Process 一直是大多数横向移动的事实上的 WMI 类,并且至今仍在使用。随着时间的推移,出现了其他方法,可以使用其他类实现几乎相同的功能。然而,通常需要其他条件才能成功,有时可能会有点麻烦。MSFT_MTProcess 类是我在任何 Windows 主机上见过的最接近 Win32_Process 的替代类,并且默认安装在所有 2016 及更高版本的服务器操作系统上。有一些原生的 Windows 实用程序可以非常简单地在非服务器操作系统上安装此 WMI 提供程序,甚至可以远程完成。
此外,此提供程序还提供了获取给定进程实例的进程转储的方法。这两种方法都使得此类在攻击性用例中非常有用。
原文地址:https://specterops.io/blog/2025/09/18/more-fun-with-wmi/
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:刨洞安全团队 刨洞安全团队《探索 WMI》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论