Win WMI[1] 介绍及常用命令

Win WMI[1] 介绍及常用命令

1、WMI介绍

WMI（Windows Management Instrumentation,Windows 管理规范）是一项核心的 Windows 管理技术；用户可以使用 WMI 管理本地和远程计算机。

可以通过客户端应用程序和脚本使用 WMI。 它提供一个基础结构，使你能够轻松发现和执行管理任务。 此外，你可以通过创建自己的 WMI 提供程序来添加到一组可能的管理任务。

• WMI作为一种规范和基础结构，通过它可以访问、配置、管理和监视几乎所有的Windows资源，比如用户可以在远程计算机器上启动一个进程；设定一个在特定日期和时间运行的进程；远程启动计算机；获得本地或远程计算机的已安装程序列表；查询本地或远程计算机的Windows事件日志等等。
• WMI的默认端口：135
• WMI有一组API。使用任何语言来访问WMI的类库，是通过WMI向外暴露的API。这些API是在系统安装WMI模块的时候安装的，通过他们我们能够能找到。
• WMI有一个存储库。用来存放提供程序提供的类信息。
• WMI有一个Service。WMI总是能够响应用户的访问，那是因为它有一个一直运行的Windows服务，名字叫Winmgmt。停止这个服务，所有对WMI的操作都将没有反应。
• WMI是可扩展的。WMI对资源的操作，取决于向它注册的提供程序。
• WMI在渗透测试中的价值在于它不需要下载和安装， 因为WMI是Windows系统自带功能。而且整个运行过程都在计算机内存中发生，不会留下任何痕迹。这一点是其它渗透测试工具所不能相比的。
• WMI允许用户通过一个统一的接口，用脚本语言访问操作系统的几乎任意一个部分。但不能直接访问Win32 API。

 

 

 

2、 常用命令

2.1、WMI信息收集

wmic product list brief |more //检索系统已安装的软件
wmic service list brief |more //搜索系统运行服务
wmic process list brief |more //搜索运行中的程序
wmic startup list brief |more //搜索启动程序
wmic netuse list brief |more //搜索共享驱动盘
wmic timezone list brief |more //搜索时区
wmic useraccount list brief |more //搜索用户帐户
wmic ntdomain list brief //搜索计算机域控制器
wmic logon list brief |more //搜索登录用户
wmic qfe list brief |more //搜索已安装的安全更新

2.2、WMI执行任务
WMIC不仅仅只是用于检索系统信息。在渗透测试中， 使用适当的命令，它也可以执行各种有用的任务。

Wmic product where "name like '%名称%' " get name //查找名称 
Wmic product where name like "输入查找的名称" call uninstall //卸载程序
Wmic process where name=“XXX.exe” call terminate //停止运行程序/服务

　　

 

 

 

 

创建时间：2021.07.28　　更新时间