开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

随着时间的推移，PowerShell WMI查询失败

PowerShell是一种由微软开发的脚本语言和命令行工具，用于自动化任务和管理Windows操作系统。WMI（Windows Management Instrumentation）是一种用于管理和监控Windows操作系统的技术，它提供了一组API和工具，用于查询和操作Windows系统的各种信息。

当PowerShell执行WMI查询时，可能会出现查询失败的情况。这可能是由于以下原因导致的：

权限问题：执行WMI查询需要足够的权限。如果当前用户没有执行查询所需的权限，查询将失败。解决方法是以管理员身份运行PowerShell或使用具有适当权限的凭据进行身份验证。
WMI服务故障：WMI服务可能会出现故障或停止运行，导致查询失败。可以尝试重新启动WMI服务来解决此问题。在PowerShell中，可以使用以下命令重新启动WMI服务：
WMI服务故障：WMI服务可能会出现故障或停止运行，导致查询失败。可以尝试重新启动WMI服务来解决此问题。在PowerShell中，可以使用以下命令重新启动WMI服务：
查询语法错误：查询语句中可能存在语法错误，导致查询失败。请确保查询语句正确，并且所有的引号和括号都正确匹配。
网络问题：如果查询涉及到远程计算机，网络连接问题可能导致查询失败。请确保网络连接正常，并且目标计算机允许WMI查询。
WMI命名空间问题：WMI使用命名空间来组织系统信息。如果查询指定的命名空间不存在或不正确，查询将失败。请确保指定的命名空间正确，并且存在于目标计算机上。

针对PowerShell WMI查询失败的问题，腾讯云提供了一系列的云计算产品和服务，可以帮助解决这些问题。例如：

腾讯云服务器（CVM）：提供了可靠的云服务器实例，可以在云端轻松运行PowerShell脚本和执行WMI查询。
腾讯云云监控（Cloud Monitor）：提供了实时监控和告警功能，可以监控服务器的性能指标和WMI服务的运行状态，及时发现并解决故障。
腾讯云安全中心（Security Center）：提供了全面的安全防护和威胁检测功能，可以保护服务器和WMI服务免受网络攻击和恶意软件的侵害。
腾讯云访问管理（CAM）：提供了精细化的权限管理功能，可以为PowerShell脚本和WMI查询设置合适的访问权限，确保安全可控。

以上是针对PowerShell WMI查询失败问题的一些解决方案和腾讯云相关产品介绍。希望能对您有所帮助。

相关搜索:随着时间的推移增加setInterval时间？随着时间的推移滚动行数？Tkinter随着时间的推移而冻结 tkinter标签随着时间的推移而消失 SELECT FOR UPDATE随着时间的推移变得缓慢重复的POSIXct结果-随着时间的推移聚合？WPF动画性能随着时间的推移而下降 Facebook页面随着时间的推移而点赞相扑逻辑随着时间的推移计数各种错误随着时间的推移，AVPlayers缓冲区变慢 Binance orderbook大小随着时间的推移而增加随着时间的推移，Python无限循环变慢了随着时间的推移，SQLite插入速度变得非常慢 Stackless python网络性能随着时间的推移而降低？随着时间的推移可视化Memcached RAM消耗随着时间的推移，链接addEventListeners将导致性能下降嵌套的for循环随着时间的推移变得越来越慢应用程序随着时间的推移而变慢- Java + Python 随着时间的推移，Android http客户端无法连接为什么图片不会随着时间的推移而改变呢？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

技术分享-持久性-WMI事件订阅

Windows Management Instrumentation (WMI) 使系统管理员能够在本地和远程执行任务。从红队的角度来看，WMI 可用于执行多种活动，例如横向移动、持久性、态势感知、代码执行以及作为命令和控制(C2)。WMI 是几乎所有 Windows 操作系统（Windows 98-Windows 10）中都存在的 Windows 的一部分，这一事实使这些攻击性活动远离蓝队的雷达。

01

再探勒索病毒之删除卷影副本的方法

为了令勒索攻击实施有效，勒索软件进行的一个常见行动是卷影备份（即影子副本），从而使受害者无法恢复任何已加密的文件。

04

WMI ——重写版

本文是以WMI的重写版，本来这份笔记会更长，原版的笔记以Black Hat 2015的Abusing Windows Management Instrumentation (WMI) to Build a Persistent, Asyncronous, and Fileless Backdoor为主要学习资料，在笔记写到大概一万字的时候，Typora 中保存的内容部分丢失。于是重新整理，有了这份，我认为精简版的WMI笔记。

01

WMI讲解(是什么，做什么，为什么)

WMI在笔者所参与的项目中发现目前攻防中利用依旧非常频繁，尤其在横向移动中，利用wmic或者powershell的WMI模块操作Win32来达到渗透的目的。笔者在学习了WMI后，将其分为四个模块（讲解、横向移动、权限提升、攻击检测），并写了四篇文章来讲解，还追加了小知识点的编写（WBEMTEST工具使用，普通用户使用wmic）。笔者能力有限，在几篇中若有未讲人话之处，望谅解。

01

WMI 攻击手法研究 – 基础篇 (第一部分)

这篇文章是有关 WMI 的多篇系列文章中的第一篇，如果读者对 PowerShell 有个基本的了解，那么对阅读本篇文章会有所帮助，但这不是必需的。

02

Windows WMI 详解（一）

WMI全称为Windows Management Instrumentation，即Windows管理规范，是Windows 2K/XP管理系统的核心。它属于管理数据和操作的基础模块，设计WMI的初衷是为了能达到一种通用性，通过WMI去操作系统、应用程序等去管理本地或者远程资源。它支持分布式组件对象模型（DCOM）和Windws远程管理（WinRM），用户可通过WMI服务访问、配置、管理和监视Windows所有资源的功能，对于其他的Win32操作系统来讲WMI是一个非常不错的插件，同时也是测试人员在攻防实战中一个很完美的“无文件攻击”入口途径。

01

WMI利用（权限维持）

在简单了解了WMI后，我们开始了横向移动，包括其中的信息收集，工具利用。那么在我们短暂的获取权限后，如何才能将权限持久化，也就是所说的权限维持住呢？笔者看了国内外部分文章后，发现WMI做权限维持主要是介绍WMI事件，并将其分为永久事件和临时事件，本文参考部分博客文章对WMI事件进行讲解，不足之处，望及时指出。

02

狩猎二进制重命名

ATT&CK 技术项编号为 T1036 的二进制重命名技术，正在被越来越多的恶意软件所采用，本文介绍如何使用多种方法对该技术进行监控与检测。

02

PowerShell5.X与WMI的集成专题系列分享第一部分

众所周知，在windows10以及Windows Server2016的平台当中，PowerShell5.x已经能够去获取到系统当中大部分的信息，但有时候仍有一些信息需要借助于调用WMI的类来完成。通过本文，你可以了解到WMI的基本架构和组件，包括WMI的数据库，WMI的provider，以及在PowerShell调用WMI的时候提供的module和相关的命令。接下来我们就能通过powershell的命令去完成WMI的查询操作，去获取到系统当中WMI的实例。然后我们还可通过实例的属性查看到系统当中不同的信息，同时的话去调用实例当中为我们提供的不同的方法，去修改系统信息的配置。

02

三大渗透框架权限维持

在渗透测试中，有三个非常经典的渗透测试框架--Metasploit、Empire、Cobalt Strike。

03

进攻性横向移动

横向移动是从一个受感染的宿主移动到另一个宿主的过程。渗透测试人员和红队人员通常通过执行 powershell.exe 在远程主机上运行 base64 编码命令来完成此操作，这将返回一个信标。问题在于攻击性 PowerShell 不再是一个新概念，即使是中等成熟的商店也会检测到它并迅速关闭它，或者任何半体面的 AV 产品都会在运行恶意命令之前将其杀死。横向移动的困难在于具有良好的操作安全性 (OpSec)，这意味着生成尽可能少的日志，或者生成看起来正常的日志，即隐藏在视线范围内以避免被发现。这篇博文的目的不仅是展示技术，但要显示幕后发生的事情以及与之相关的任何高级指标。我将在这篇文章中引用一些 Cobalt Strike 语法，因为它是我们主要用于 C2 的语法，但是 Cobalt Strike 的内置横向移动技术是相当嘈杂，对 OpSec 不太友好。另外，我知道不是每个人都有 Cobalt Strike，所以在大多数示例中也引用了 Meterpreter，但这些技术是通用的。

01

初识(fileless malware)无文件非恶意软件

区别于传统的基于文件的攻击，无文件非恶意软件攻击在内存中运行，不需要利用可执行文件就能达到攻击的目的。无文件非恶意软件本身是系统内置的合法工具，但是被用来执行一些不合法的操作，也就是我们常说的白名单绕过执行。总的来说就是利用Windows 的一部分来对抗Windows。

01

OFFENSIVE LATERAL MOVEMENT 横向移动(译文)

近期看了一篇不错的横向移动的文章，觉得不错就简单翻译了一下(谷歌翻译哈哈哈哈！) 原文地址：https://posts.specterops.io/offensive-lateral-movement-1744ae62b14f

01

Windows WMI 详解之WMI远程交互

当前，WMI支持两种远程交互的协议：DCOM协议和WinRm协议。我们可以通过这两种协议对远程的机器进行对象查询、事件注册以及WMI类方法的执行等操作，攻击者要有效的利用WMI的两种远程交互协议则需要一定的特权用户凭证，因此大多数的安全厂家通常都不会对WMI这两种协议所传输的恶意内容以及恶意流量进行审查，这就让攻击者对WMI这两种协议有了可利用的空间，那么，接下来给大家分别介绍WMI所支持的两种协议—DCOM协议和WinRm协议。

01

WMI 攻击手法研究 – 探索命名空间、类和方法 (第二部分)

本篇文章是 WMI 攻击手法研究的第二篇，主要研究 WMI 中的 3 个组件，在整篇文章中，我们将交替使用 WMI 和 CIM cmdlet，以便熟悉这两种 cmdlet 类型。

02

PS常用命令之系统WMI查看和操作相关命令

[TOC] 0x00 前言简述 Q: 什么是WMI? 答: WMI出现至今已经多年，但很多人对它并不熟悉。知道它很好很强大，但不知道它从哪里来，怎么工作，使用范围是什么？ WMI有一组API我们不管

01

内网渗透基石篇——权限维持分析

专注是做事成功的关键，是健康心灵的特质。当你与所关注的事物融为一体时，就不会让自己萦绕于焦虑之中。专注与放松，是同一枚硬币的两面而已。一个人对一件事只有专注投入才会带来乐趣。一旦你专注投入进去，它立刻就变得活生生起来。

02

WMI利用(横向移动)

上一篇文章我们简单的解释了什么是WMI，WMI做什么，为什么使用WMI。本文是笔者在阅读国内部分的解释WMI横向移动的文章后写下的一篇文章，希望帮助同学们在攻防中进入横向移动后根据实际场景利用WMI来解决问题。在横向移动中的固定过程中一定离不开“信息收集”，然后分析信息根据实际场景（工作组或者域）来进行横向移动，至于使用什么工具，为什么使用这个工具，笔者使用WMI的意见。所以本文分为三个段落，信息收集、横向移动、部分意见。信息收集。

01

PowerShell 使用 WMI 获取信息

在 PowerShell 可以很容易使用 WMI 拿到系统的信息，如果有关注我的网站，就会发现我写了很多通过 WMI 拿到系统的显卡，系统安装的软件等方法，本文告诉大家如果通过 PowerShell 拿到 WMI 类里面的属性

01

WMI持久性后门(powershell）(水文)

“WMI是微软为基于Web的企业管理（WBEM）规范提供的一个实现版本，而WBEM则是一项行业计划，旨在开发用于访问企业环境中管理信息的标准技术。WMI使用公共信息模型（CIM）行业标准来表示系统、应用程序、网络、设备和其他托管组件。”

01

域内横向移动分析及防御

本篇继续阅读学习《内网安全攻防：渗透测试实战指南》，本章系统的介绍了域内横向移动的主要方法，复现并剖析了内网域方面最重要、最经典的漏洞，同时给出了相应的防范方法

01

使用Powershell 获取内网服务器信息和状态

在内网渗透过程中，有时我们是需要了解不同的服务器的基本软硬件配置信息的，同时也可能需要将它们生成报告进行归档，那么通过 Powershell，我们也能够轻松的去完成这个过程。本文中，我们将主要说明如何通过 Powershell 收集系统信息和生成报告。

04

无文件加密挖矿软件GhostMiner

网络罪犯利用加密挖矿恶意软件盗用计算资源牟利。早在2017年，已经观察到他们如何应用无文件技术使检测和监测更加困难。

00

无文件Powershell恶意程序使用DNS作为隐蔽信道

思科Talos安全团队最近发现一款Powershell恶意程序，用DNS进行双向通信。前言 DNS是企业网络中最常用的Internet应用层协议。DNS提供域名解析，这样用户就可以通过域名而非IP地址来访问网络资源。许多企业会严格监控web流量，但对基于DNS的威胁的防护就比较少。攻击者也注意到了这点，经常将其他协议封装进DNS协议中来躲避安全监测。攻击者利用DNS协议一般都是要获取信息。思科Talos团队最近分析了一个很有趣的恶意程序样本，利用DNS TXT记录查询和响应来创建双向的C2通道。攻击者可

09

SharpStrike：基于C#实现的后渗透漏洞利用研究工具

SharpStrike是一款基于C#开发的后渗透工具，该工具可以使用CIM或WMI来查询远程系统。除此之外，该工具还可以使用研究人员提供的凭证信息或使用当前的用户会话。

01

如何检测并移除WMI持久化后门？

Windows Management Instrumentation（WMI）事件订阅，是一种常被攻击者利用来在端点上建立持久性的技术。因此，我决定花一些时间研究下Empire的WMI模块，看看有没有可能检测并移除这些WMI持久化后门。此外，文中我还回顾了一些用于查看和移除WMI事件订阅的PowerShell命令。这些命令在实际测试当中都非常的有用，因此我也希望你们能记录它们。

03

攻击推理，一文了解“离地攻击”的攻与防

关于“离地攻击”至今没有一个权威的定义。但是被广泛接受的“离地攻击”通常是指利用系统中已存在或比较易于安装的二进制文件来执行后渗透活动的攻击策略。说白了就是攻击过程不“落地”。

02

通过逆向分析防御挖矿病毒「建议收藏」

因为这次是从应急响应引出的，所以我将侧重点放在分析病毒本身的存储方式和传播途径，靠逆向分析出防护策略用于帮助后续的应急响应/系统加固/运维。

02

WMI使用学习笔记

乌鸦安全的技术文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。

03

权限维持分析及防御

本篇继续阅读学习《内网安全攻防：渗透测试实战指南》，本章是权限维持分析及防御，分析了常见的针对操作系统后门、Web后门及域后门（白银票据、黄金票据等）的攻击手段，并给出了相应的检测和防范方法

01

如何使用CIMplant收集远程系统中的数据并执行命令

CIMplant是WMImplant项目的C#实现，并扩展了原项目的相关功能，该工具能够使用CIM或WMI来查询远程系统，并且可以使用用户提供的凭据或当前用户的会话来执行操作。

03

如何使用Douglas-042为威胁搜索和事件应急响应提速

Douglas-042是一款功能强大的PowerShell脚本，该脚本可以提升数据分类的速度，并辅助广大研究人员迅速从取证数据中筛选和提取出关键数据。

01

获取主机已安装程序的多种方式

这篇文章我们主要讲的是获取主机已安装程序的多种方式，通过获取的软件及版本信息可用于权限提升、搜集密码等。因为有的方式获取不完整或者可能被安全防护软件拦截，所有我测试了多个方法，以备不时之需。

02

PowerShell 使用 WMI 获取信息获取 WMI 类显示 WMI 类的信息

在 PowerShell 可以很容易使用 WMI 拿到系统的信息，如果有关注我的网站，就会发现我写了很多通过 WMI 拿到系统的显卡，系统安装的软件等方法，本文告诉大家如果通过 PowerShell 拿到 WMI 类里面的属性

02

政企机构用户注意！蠕虫病毒Prometei正在针对局域网横向渗透传播

近日，火绒安全实验室监测到蠕虫病毒“Prometei”正在全网传播。该病毒通过横向渗透攻击方式对局域网中的终端进行大面积入侵，并且可以跨平台（Windows、Linux、macOS等系统）横向传播。火绒安全提醒广大用户，尤其是企业、政府部门、学校、医院等拥有大型局域网机构，及时做好排查与防护工作，避免受到该病毒影响。目前，火绒安全（个人版、企业版）产品已对该病毒进行拦截查杀。

04

WMI攻击检测

WMI利用（权限维持）

01

Lateral Movement之WMI事件订阅

在之前，我曾在安全客分享过《wmi攻击与防御》的相关议题。里面介绍了关于wmi的一些相关内容，其中提到了使用wmi进行横向移动的方法，只是当时由于时间原因并未对细节进行讲解，在成熟的企业内网中，如何优雅的进行横向移动是需要每个安全人员需要去注意的点。比如如何使用CobaltStrike、Impacket等工具进行横向移动时最小化操作的技巧等。本文将讲解如何使用wmi事件订阅来进行横向移动。

02

QBot恶意软件深度解析

QBot也称为QakBot，已经活跃了很多年。它最初被称为金融恶意软件，旨在窃取用户凭据和键盘记录来对政府和企业进行金融欺诈。近期在野捕获的Office Word文档中发现QBot变体，但未发现其传播方式。本文将分析它在受害者机器上的工作方式及其使用的技术。

03

如何在远程系统执行程序

在我们获得用户名口令后，尝试远程登陆目标主机并执行程序，结合实际环境做了如下测试.

02

Windows维权之粘滞键项维权

辅助功能提供了其他选项(屏幕键盘、放大镜、屏幕阅读等)可以帮助残疾人更轻松地使用Windows操作系统，但是此功能可能会被滥用于在已启用RDP且已获得管理员级别权限的主机上实现持久性，此技术涉及磁盘或者需要修改注册表才能执行存储的远程负载

01

粘滞键项权限维持

在window Vista以上的操作系统中，修改sethc会提示需要trustedinstaller权限，trustedinstaller是一个安全机制，即系统的最高权限，权限比administrator管理员高，windows权限分为三种从低到高依次是user，administrator，system，而trustedinstaller比 administrator高但没有system高，这么做的好处是避免了一些恶意软件修改系统文件的可能，坏处就是自己不能直接操作了：

02

隐匿攻击方法

防火墙可以阻止反向和绑定 TCP 连接。然而，大多数时候 ICMP 流量是允许的，故可以将此协议用作隐蔽通道，以获取 shell 并在目标主机上远程执行命令

02

windows权限维持(二)

在一般用户权限下，通常是将要执行的后门程序或脚本路径填写到如下注册表的键值中HKCU\Software\Microsoft\Windows\CurrentVersion\Run，键名任意。普通权限即可运行

02

WMI 攻击手法研究 – 识别和枚举 (第四部分)

这是 WMI 攻击手法研究系列文章第四篇，将更多地关注信息收集和枚举。WMI 提供了大量的类，可以从中列举出很多东西。因此，让我们来深入了解，不要再浪费时间了。

03

使用 WMI 进行诊断WCF

WMI 是基于 Web 的企业管理 (WBEM) 标准的 Microsoft 实现,WCF 公开服务的属性，如地址、绑定、行为和侦听器。您可以在应用程序的配置文件中激活内置 WMI 提供程序。这可以通过 system.ServiceModel element一节中的 <diagnostics> Element的 wmiProviderEnabled 属性实现，如以下配置示例所示。 <system.serviceModel> … <diagnostics wmiProviderEnabled

08

易学易用的Windows PowerShell

Windows PowerShell 是微软为 Windows 环境所开发的 shell 及脚本语言技术，这项全新的技术提供了丰富的控制与自动化的系统管理能力；而“脚本语言”（scripting languages）则是用来编写程序的计算机语言。脚本语言通常都有简单、易学、易用的特性，目的就是希望能让写程序的人（开发者）快速完成程序的编写工作。本文将简述脚本语言的起源与目的，并且介绍 Windows PowerShell。脚本语言的源起与目的脚本语言是计算机程序语言（programming lan

06

如何查看域用户登录的计算机

在内网渗透的过程中，经常会遇到需要查看域用户登陆了哪些机器，目前我们收集整理了三种方法，给大家分享出来。

01

通过 SOCKS 代理 Windows 工具

通过受感染的主机利用 SOCKS 代理来自 Windows 攻击者机器的工具是一个包含一些细微差别和混淆空间的主题。这种细微差别源于将普通网络流量代理到目标网络的协议要求，以及可用于 Windows 以促进通过 SOCKS 代理网络流量的工具（或缺乏工具）。但是，从攻击的角度来看，将现有 Windows 工具和本机实用程序代理到网络中的能力具有重要价值。为此，这篇文章旨在逐步完成：

02

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭