选择Top 5或Limit to 5 entries on Get-WmiObject Powershell查询 - 腾讯云开发者社区

文章/答案/技术大牛

发布

WMI ——重写版

，当前机器大概率是Vmware 的 VM/Sandbox 在Powershell 中是这样的：后面不在啰嗦，只要理解这个类的查询逻辑，就很容易理解命令， Get-WmiObject 本质上也是使用了...WQL查询，并且也支持 -query 参数直接使用WQL查询。...Powershell并不是唯一的选择，wmic 中也能实现相同的效果： wmic /NAMESPACE:"\\root\subscription" PATH __EventFilter CREATE Name...WMI Attacks – Stealthy Command “Push” ---- 上面例子中基本调用的是 powershell或cmd，在笔者其他篇中提到过ELK配合sysmon，查找这类攻击很容易...或其他工具查询对应的类：Filter、consumer 、FilterToConsumerBinding Autoruns（GUI 界面的WMI菜单栏）相关文章：透过Autoruns看持久化绕过姿势的分享

2.7K1 0

WMI 攻击手法研究 – 探索命名空间、类和方法 (第二部分)

： Get-WmiObject -Namespace root -Class __Namespace 输出的内容包含了许多信息，为了过滤掉 “无用” 信息，可使用 PowerShell 中的 select...可以使用以下命令来缩小范围，该命令列出了用于获取或操作用户信息的所有可用类： Get-WmiObject -Class *user* -List 同样也可以使用 Get-CimClass 命令也能实现同样的效果...查询类以从中获取更多东西。...Powershell 的 Format-List 或 fl 中，例如：Get-WmiObject -Class Win32_UserAccount | fl * CIM cmdlet Get-CimInstance...为了避免这种情况，我们可以使用 -Filter 参数来获取我们正在寻找的特定进程 (这里选择了 lsass.exe)： Get-WmiObject -Class Win32_Process -Filter

2.1K2 1

您找到你想要的搜索结果了吗？

是的

没有找到

PS常用命令之系统WMI查看和操作相关命令

Q: WMI 管理的常用命令以及工具 wmic.exe - Cmd 命令 Get-CimClass - Powershell 命令 Get-CimInstance - Powershell 命令 Get-WmiObject...输入完全限定域名（FQDN）、NetBIOS名称或IP地址。...win32_OperatingSystem FreePhysicalMemory # 查询空闲内存 Get-WmiObject -class Win32_NetworkAdapterConfiguration...available' -f $_.Caption, ($_.FreeSpace / 1MB) } # 查询硬盘剩余空间 # 2) 远程计算机信息获取、操作 Get-WmiObject -Class...可以使用PowerShell或CMD检索Windows产品密钥。

1.9K1 0

WMI利用(横向移动)

注意：wmic命令需要本地管理员或域管理员才可以进行正常使用，普通权限用户若想要使用wmi，可以修改普通用户的ACL，不过修改用户的ACL也需要管理员权限，这里笔者单独罗列小结：普通用户使用wmic。...以下命令均在2008R2、2012R2、2016上进行测试,部分命令在虚拟机中测试不行，例如查询杀软。...设置监听器，并选择Powershell作为载荷在客户机上执行wmic命令，让指定机器上线CS · XSL 如下为普通的xsl恶意文件，我们可以在下例中修改Run()中的Payload，本地运行恶意程序或者远程使用...Powershell亦或者其他下载命令等等，我们可以自行搭配。...希望在实际攻防中，根据自身经验优先选择现有工具进行操作，如若没有趁手的，则可以自己使用.net或者VBS来进行开发。

3.3K1 0

AD域攻防权威指南:十四.SCCM枚举之SCCM管理主机定位SCCM站点信息

使用PowerShell定位SCCM站点信息当我们拥有SCCM管理主机权限时，可以通过WMI（WindowsManagementInstrumentation）从root/ccm命名空间查询站点信息。...文本描述已自动生成图1-2通过Get-CimInstance定位站点信息使用Wbemtest图形化查询SCCM站点信息除使用PowerShell获取外，...图形用户界面,应用程序描述已自动生成图1-3利用Wbemtest连接root\ccm连接成功后选择“查询（Query）”，如图1-4所示。!...图形用户界面描述已自动生成图1-4选择查询功能随后输入WQL查询语句SELECT*FROMSMSAuthority并执行查询，如图1-5所示。!...图形用户界面,应用程序描述已自动生成图1-5使用WQL进行查询查询结果如图1-6所示。!

1151 0

WMI使用学习笔记

✎ 阅读须知乌鸦安全的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。...利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。乌鸦安全拥有对此文章的修改、删除和解释权限，如转载或传播此文章，需保证文章的完整性，未经允许，禁止转载！...此时的问题主要是没有设置powershell的脚本执行权限，在当前需要使用管理员身份来解除限制： set-executionpolicy remotesigned 然后选择y即可 Invoke-WmiCommand...此时加上-wait5000之后：而网上的错误写法： 10. wmic上线cobalt strike 10.1 环境准备首先准备好环境，设置监听：在这里选择Web投递，然后选择生成：此时生成了命令...:80/a'))" 10.2 WMIC上线在这里可以使用很多方法去上线，在这里选择较为原生的wmi命令上线测试，在这个命令里面因为有多个双引号，所以对其中powershell命令的双引号进行转义：\

2.7K3 0

技术分享-持久性-WMI事件订阅

PowerShell PowerShell 包含可以查询 WMI 对象并将信息检索回控制台的 cmdlet。以下命令可用于验证是否已创建任意事件以及恶意负载/命令是否存储在 WMI 存储库中。...以下脚本块将在每次 Windows 启动后的 5 分钟内执行任意可执行文件“ pentestlab.exe ”。...WMI-Persistence是另一个 PowerShell 脚本，它可以创建事件过滤器，在每次重新启动后 5 分钟内从远程位置执行基于 PowerShell 的有效负载。...Check-WMI 下次重新启动 5 分钟后，有效负载将被传递，并且将与目标主机建立 Meterpreter 会话。...以下模块可以在特定的每日时间、登录失败期间和启动时 5 分钟内执行有效负载。

3.7K1 0

阿里云Windows迁移腾讯云方案

\tat_agent_installer.exe start-sleep 5 #查询tat agent运行状态 get-wmiobject -class win32_service | where{$...\windows-stargate-installer.exe start-sleep 5 #查询云监控组件相关2个服务的运行状态 get-wmiobject -class win32_service...-match "qcloud"}| select -property Name,StartMode,State,PathName 5、对客户来说，云服务器不需要考虑省电，电源模式尽可能使用”高性能”（...腾讯云、阿里云公共镜像均是高性能模式）或”卓越性能”。...总之，至少得是”高性能”模式，如果不小心，或不知道，选了平衡模式（省电模式之一），建议参考头部云厂商Windows公共镜像的默认配置，一般都至少是高性能模式，没见过平衡模式的。

1.9K1 1

WMI持久性后门(powershell）(水文)

它包含两个类：MSFT_Rule，它定义管理范围内的单个规则，以及MSFT_SomFilter，它提供在目标设备上评估的查询列表。...1.2.Consumer Consumer 类是表明了想要进行什么操作，一般是有5种Consumer 类，我们使用其中的一个（或由同一过滤器绑定的多个）来执行某种操作。...root\CIMV2' QueryLanguage = 'WQL' Query = "select * from __instanceModificationEvent within 5...# powershell -exec bypass PS > Import-Module ....命令的命令行，然后加载存储在 Windows 注册表中的大型 PowerShell 脚本。

1.7K1 0

常规安全检查阶段 | Windows 应急响应

powershell 进入 powershell 命令行 Get-WmiObject -Class Win32_UserAccount Get-WmiObject -Class Win32_UserAccount...PowerShell 除非你想快速确认某些内容并且有写好的 powershell 脚本或者做自动化日志分析处理，不然不是很建议使用 powershell 查询日志 Windows PowerShell同样提供了日志查询的相关命令程序...过滤器消费者绑定 2. powershell 查询过滤器 Get-WmiObject -Namespace "root\subscription" -Query "SELECT * FROM __EventFilter..." Get-WmiObject -Namespace "root\DEFAULT" -Query "SELECT * FROM __EventFilter" 查询消费者 Get-WmiObject -...这有助于确保用户选择的密码具有足够的复杂性，不容易被猜测或破解。检查常见密码：密码过滤器可以检查用户设置的密码是否属于常见密码列表中。

3.1K1 0

Windows内网渗透常用命令总汇

正文前几天面试的时候被师傅问到了这个问题，当时不是很会，现在来学学查询网络配置信息 ipconfig /all 查询本机的服务信息 wmic service list brief 查询系统信息 systeminfo.../all 查看自己的详细权限 net user xxx /domain 查看域内指定用户的权限判断是否存在域 .net time /domain 若出现以下情况则不存在域若是报错：发生系统错误5，...%I | findstr "TTL" 4.nmap直接开扫 5.meterpreter会话中执行 run windows/gather/enum_ad_computers 扫描域内开放端口 1.nmap...administrators 查询本地管理员用户 net group “domain admins” /domain 查询域管理员用户 net group “Enterprise admins” /domain...SecurityCenter2 -Class AntiVirusProduct 根据系统的不同，反病毒软件通常会WMI中注册为AntiVirusProduct，保存在root\SecurityCenter或root

2.2K3 0

Turla PowerShell攻击手法学习

这个样本是在2019年5月中使用的一个powershell样本。背景 Turla，也被称为 Snake，是一个臭名昭著的间谍组织，以其复杂的恶意软件而闻名。...PowerShell 加载器 PowerShell 加载器具有三个主要步骤：持久化、解密和加载到嵌入式可执行文件或库的内存中。...{(Get-WmiObject -Class Win32_Account -Filter "name='$($_.User)'").SID -eq "S-1-5-18"}) if ("$SystemProc...每个脚本的key和salt也不同，不存储在脚本中，而只存储在WMI过滤器或profile.ps1文件中。 PE loader 在上一步解密的有效负载是一个 PowerShell 反射加载器。...可执行文件硬编码在脚本中，并注入目标系统上运行的随机选择的进程的内存中。

1.1K4 0

使用 Power Shell 修改 Hyper-V 虚拟机 UUID 的解决方案

集群的准备，所以准备在之前文章中使用 Hyper-V 安装的 CentOS8.5 的虚拟机搭建需要确保每个节点上 MAC 地址和 product_uuid 的唯一性可以使用命令 ip link 或...修改Hyper-V虚拟机的UUID 尝试了文章引用的国外大佬的工具，发现已经无法运行，好在博主提供了一个可以直接使用的脚本下面结合个人实践来做一些补充说明使用 PowerShell 查询虚拟机UUID...，所以优化了一下，可以使用这个来查询 (Get-WmiObject -Namespace root\virtualization\v2 -Class Msvm_VirtualSystemSettingData...\v2 -Class msvm_virtualsystemsettingdata #每次操作选择一台虚拟机 $CurrentSettingsData = $vmx | Where-Object { $...参考文档 PowerShell Script: Change the BIOS GUID of a Hyper-V Virtual Machine PowerShell修改Hyper-V虚拟机的UUID

1.3K1 0

再探勒索病毒之删除卷影副本的方法

勒索软件作者的最新方法是直接从他们的代码（或脚本）中调用删除影子副本。而PowerShell命令则受到勒索软件的青睐，在一行简单的代码中列举并删除所有影子副本的实例。...Sodinokibi作为一个子进程运行PowerShell，命令行参数为base64编码，解码为： Get-WmiObject Win32_Shadowcopy| ForEach-Object { $...PowerShell cmdlets 也支持别名。有些是内置的，比如Get-WmiObject的gwmi，或者Get-CimInstance的gcim。...5.打开备份卷的句柄（即C:，影子副本属性中的 “原始卷”）。...查询影子副本属性可以使用我们之前介绍的工具（vssadmin、WMI和COM对象）。步骤1-4是可选的，但要记住，它们保证了程序的有效性，跳过它们可能会导致失败或意外的结果。 ?

3.8K4 0

PowerShell到底是个啥？跟CMD比起来强在哪里？看完这篇你就懂了

假设你要获取系统中占用内存最多的前5个进程：用CMD的话，你需要： tasklist /fo csv | findstr /v "Image Name" | sort /r /+5 | more +1...-First 5 看到区别了吧？...PowerShell可以直接用WMI： Get-WmiObject -Class Win32_ComputerSystem Get-WmiObject -Class Win32_Processor Get-WmiObject...5 # 搜索历史命令 Get-History | Where-Object {$_.CommandLine -like "*process*"} 别名使用 PowerShell为很多常用命令定义了别名...关键是要根据实际需求选择合适的工具。

2.7K1 0

恢复主网卡默认路由设置

以下代码仅限一块网卡的机器，多块网卡的代码需要调整以管理员身份powershell执行这几句命令$gw=(Get-WmiObject win32_networkadapterconfiguration...://www.powershellgallery.com/packages/PSWinDocumentation/0.1.0/Content/Private%5CComputers.ps1https:/.../gist.github.com/milesgratz/0285a6c3e9dd2bcfbbc72b441fcb6410https://www.bookstack.cn/read/powershell-networking-guide...networkconfig=gwmi -Query "SELECT * FROM Win32_NetworkAdapterConfiguration WHERE IPEnabled = 'True'"或$...Win32_NetworkAdapter -Filter 'NetEnabled=True'或$network=gwmi -Query "SELECT * FROM Win32_NetworkAdapter

2.7K2 0

WMI 攻击手法研究 – 基础篇 (第一部分)

文章目录[隐藏] 介绍用 PowerShell 操作 WMI 使用 PowerShell 里的 WMI 查询结论这篇文章是有关 WMI 的多篇系列文章中的第一篇，如果读者对 PowerShell...Query Languages：就像 SQL 提供查询数据库的方法一样，WMI 也有用于查询 WMI 服务的 WQL (WMI 查询语言) / CQL。...我们将重做上面所做的，但在将 Powershell 版本更改回默认版本后 (在示例中使用了 Powershell v5)： CIM cmdlet 可以做 WMI cmdlet 所能做的一切。...里的 WMI 查询现在我们已经知道了可供我们使用的不同 cmdlet，我们可以尝试运行上面的示例 WQL 查询。...声明：本站所有文章，如无特殊说明或标注，均为本站原创发布。任何个人或组织，在未征得本站同意时，禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。

1.8K2 1

WMI 攻击手法研究 – 识别和枚举 (第四部分)

Get-WmiObject -Namespace root\securitycenter2 -Class antivirusproduct 5 服务 Windows 系统上的服务类似于 Unix 守护进程...请注意 Powershell 实用程序的 select 使用，与没有它相比，它显着扩展了输出。...可以使用以下命令来查询： Get-WmiObject -Class win32_ntlogevent 每个日志条目都包含详细信息，例如时间、生成事件的来源、严重性和消息。...可以通过以下方式快速获取用户列表： Get-WmiObject -Class win32_useraccount 但是，对于加入域或域控制器，还会有其他几个帐户，包括 krbtgt、sqladmin、...在本地上查询类很容易： Get-WmiObject -Class win32_group 如果在企业环境中运行相同的命令，例如在加入域的网络中，组的数量会增加，让我们可以更广泛地了解网络上的用户组。

8713 0

配置自定义消息实现Windows服务器CPU和内存高利用率时触发告警抓住最佳时机上机排查

处理思路：设置监控告警，当CPU或内存利用率超过85%时触发告警，然后立即上机调出任务管理器查看是什么进程占用CPU或内存最多或者上机后在powershell里执行get-process |sort-object...处理思路：设置监控告警，当内存或CPU利用率超过85%时触发告警，然后立即上机调出任务管理器查看是什么进程占用CPU或内存最多或者上机后在powershell里执行get-process |sort-object...\Monitor\Barad\"切换目录（注意没有/d）记录下策略ID：cm-812hsdyc（后面的代码里替换成你自己的策略ID）编写powershell脚本mem.ps1 $a=(get-wmiobject...Tools\Task Scheduler.lnk 红色圈出的地方特意去掉了“不存储密码”前面✅里的对勾 image.png image.png image.png “重复任务间隔”没有1分钟的选项，那就选5分钟...，手动把5改成1 触发器根据自己的需要进行选择，最常用的是这3个：在系统启动时触发、当任何用户登录时触发、当创建任务或修改任务时触发。

3.2K7 0

“污水”（MuddyWater）APT组织C2工具MuddyC3浅析

作者竭力保证文章内容可靠，但对于任何错误、疏漏或不准确的内容希望能及时提出，以免误人子弟。...工具由python2编写使用powershell来进行载荷投递使用hta与base64后的powershell代码来进行BypassAV 支持一对多服务载荷第一次启动时会收集目标系统信息，并发送回服务端...下面这部分来接收用户的操作或对目标的操作。 ? 并根据内置在cmd.py的命令，来进行对应操作： ? 其中的Webserver.py是来定义函数功能的程序，每个功能都定义了一个URL： ?...$hostname = $env:COMPUTERNAME;$whoami = $env:USERNAME;$arch = (Get-WmiObject Win32_OperatingSystem).OSArchitecture...$os = (Get-WmiObject -class Win32_OperatingSystem).Caption + "($arch)";$domain = (Get-WmiObject Win32

1.4K2 0

点击加载更多

WMI ——重写版

WMI 攻击手法研究 – 探索命名空间、类和方法 (第二部分)

PS常用命令之系统WMI查看和操作相关命令

WMI利用(横向移动)

AD域攻防权威指南:十四.SCCM枚举之SCCM管理主机定位SCCM站点信息

WMI使用学习笔记

技术分享-持久性-WMI事件订阅

阿里云Windows迁移腾讯云方案

WMI持久性后门(powershell）(水文)

常规安全检查阶段 | Windows 应急响应

Windows内网渗透常用命令总汇

Turla PowerShell攻击手法学习

使用 Power Shell 修改 Hyper-V 虚拟机 UUID 的解决方案

再探勒索病毒之删除卷影副本的方法

PowerShell到底是个啥？跟CMD比起来强在哪里？看完这篇你就懂了

恢复主网卡默认路由设置

WMI 攻击手法研究 – 基础篇 (第一部分)

WMI 攻击手法研究 – 识别和枚举 (第四部分)

配置自定义消息实现Windows服务器CPU和内存高利用率时触发告警抓住最佳时机上机排查

“污水”（MuddyWater）APT组织C2工具MuddyC3浅析

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐