У меня проблема с пониманием удаленного трафика WMI c.
Допустим, у меня есть 2 P C в локальной сети (P C -A и P C -B) .
От P C -A i введите CMD: wmic /node:"PC-B" /user:"B" /password:"whatever" computersystem get "name"
Теперь в локальной сети между двумя компьютерами должен быть трафик c и ответ на этот запрос следует отправить обратно в P C -A, из P C -B.
Я пытался использовать Wireshark, но трафик c слишком перегружен для меня.
На данный момент то, что я понимаю, происходит следующим образом (я едва понимаю):
- llmnr / mdns, пытаясь разрешить параметр node ( домен P C внутри локальной сети)
- TCP-трехстороннее рукопожатие через порт 135 (из P C -B)
- Что происходит дальше, совершенно не в моем понимании, я думаю, что это должно go как:
- dcom (создание чего-либо) через порт 135
- dcom, сессия перенесена на другой порт
Я совершенно невежественен Не удается найти полезную информацию.
Я благодарен всем, кто поделится со мной своими знаниями.
Редактировать:
Это PCAP файл: https://drive.google.com/file/d/1FpvNujHlAIsY2aXxZdB0uGZd6RC4islm/view?usp=sharing