探索Windows WMI的新境界：WMEye

探索Windows WMI的新境界：WMEye

项目介绍

欢迎来到WMEye的世界，一个创新的实验工具，专注于探索Windows管理 instrumentation（WMI）的潜力。这个工具设计用于实现横向移动，并利用WMI和远程MSBuild执行。它将编码或加密的shellcode上传到远程目标的WMI类属性中，创建事件过滤器，当触发时，通过特殊WMI类LogFileEventConsumer编写基于MSBuild的Payload，然后远程执行该payload。

项目技术分析

WMEye的核心功能在于它的无文件横向移动策略，利用WMI进行操作。它首先创建远程WMI类，然后在其中存储shellcode。接着，它设置一个事件过滤器，当powershell.exe进程启动时，触发LogfileEventConsumer，这会将MSBuild Payload上传到远程系统。最后，调用Win32_Process Create以远程执行MSBuild。有趣的是，MSBuild Payload会从WMI类属性中获取解码并执行的shellcode。

项目及技术应用场景

WMEye适用于安全研究人员、渗透测试人员以及任何希望深入了解Windows系统内核安全的人士。它可以与Cobalt Strike的Execute-Assembly功能结合使用，模拟真实环境下的攻击场景。此外，由于其无文件的特点，使其在不留下明显痕迹的情况下进行横向移动，成为红队操作中的有力工具。

项目特点

• 独特的shellcode存储方式：WMEye将编码的shellcode存储在远程机器的伪造WMI类属性中，提供了一种新颖的隐蔽方法。
• 巧妙的Payload传输：利用LogFileEventConsumer而不是直接通过win32_process Create来启动PowerShell，降低了被检测的可能性。
• 未来规划：WMEye计划改进Payload的执行方法，添加GZIP压缩，支持NTLM PTH以及清理功能，以提高效率和安全性。

预览效果

查看项目的预览动画，wmeye.gif，你可以直观地看到WMEye的工作流程。

注意事项

WMEye目前处于实验阶段，尚未达到实际应用的标准。但在深入研究和理解Windows系统安全方面，它已经是一个强大的学习资源。

致谢

WMEye的灵感来源于Fireeye的一份研究报告，感谢他们的宝贵贡献。

想要挑战WMI的边界，掌握高级的安全技巧吗？WMEye是你的不二选择。立即加入，一起探索这个奇妙的技术领域吧！