本篇文章是 WMI 攻击手法研究系列中的第五篇，着重于 Active Directory 枚举。 Active Directory (AD) 是 Microsoft 为 Windows 域网络实施的目录和 IAM 服务 —— 管理员能够通过它来管理权限...

这是 WMI 攻击手法研究系列文章第四篇，将更多地关注信息收集和枚举。WMI 提供了大量的类，可以从中列举出很多东西。因此，让我们来深入了解，不要再浪费时间了。 1 收集基本信息 在之前的文章...

这是 WMI 攻击手法研究系列第三篇，本文将重点介绍与 Windows 注册表的交互。在开始之前需要了解的一件事情是：MITRE ATT&CK 对查询注册表 (Query Registry) 归类于 T1012 以及它的修改 (Mo...

本篇文章是 WMI 攻击手法研究的第二篇，主要研究 WMI 中的 3 个组件，在整篇文章中，我们将交替使用 WMI 和 CIM cmdlet，以便熟悉这两种 cmdlet 类型。 1 命名空间 让我们简单回顾一下命名空间...

这篇文章是有关 WMI 的多篇系列文章中的第一篇，如果读者对 PowerShell 有个基本的了解，那么对阅读本篇文章会有所帮助，但这不是必需的。 1 介绍 为何是 WMI WMI 是 Microsoft 的一组规范，旨...

本篇文章翻译自 Decoding Malicious PowerShell Activity - A Case Study IT 管理人员和安全专家经常会遇到一些看起来比较可疑的 PowerShell 命令，他们有时能够解开这些可疑的命令，但常常还得...

NiShang 是一个框架，也是一个脚本和 Payloads 的集合，可在攻防、渗透测试和红队联盟中运用。NiShang 尤其是在渗透测试当中非常有用 ......