Add MS-WMI tests

gpotter2 · gpotter2 · commit f7e30deecf8c · 2026-02-23T01:09:37.000+01:00
diff --git a/test/scapy/layers/msrpce/mswmi.uts b/test/scapy/layers/msrpce/mswmi.uts
@@ -0,0 +1,49 @@
+% MS-WMI Tests
+
++ [MS-WMI] build and dissection tests
+* To work scapy-rpc extension must be installed
+
+= [MS-WMI] - Import [MS-WMI]
+
+from scapy.config import conf
+conf.exts.load("scapy-rpc")
+from scapy.layers.msrpce.raw.ms_wmi import *
+
+= [MS-WMI] - Build ExecQuery_Request
+
+lang = "WQL\0"
+query = "SELECT Name FROM Win32_OperatingSystem\0"
+
+pkt = ExecQuery_Request(
+    strQueryLanguage=NDRPointer(
+        referent_id=0x72657355,
+        value=FLAGGED_WORD_BLOB(
+            max_count=len(lang),
+            cBytes=len(lang) * 2,
+            clSize=len(lang),
+            asData=lang.encode("utf-16le"),
+        ),
+    ),
+    strQuery=NDRPointer(
+        referent_id=0x72657356,
+        value=FLAGGED_WORD_BLOB(
+            max_count=len(query),
+            cBytes=len(query) * 2,
+            clSize=len(query),
+            asData=query.encode("utf-16le"),
+        ),
+    ),
+    ndr64=False
+)
+
+assert bytes(pkt) == b"User\x04\x00\x00\x00\x08\x00\x00\x00\x04\x00\x00\x00W\x00Q\x00L\x00\x00\x00Vser'\x00\x00\x00N\x00\x00\x00'\x00\x00\x00S\x00E\x00L\x00E\x00C\x00T\x00 \x00N\x00a\x00m\x00e\x00 \x00F\x00R\x00O\x00M\x00 \x00W\x00i\x00n\x003\x002\x00_\x00O\x00p\x00e\x00r\x00a\x00t\x00i\x00n\x00g\x00S\x00y\x00s\x00t\x00e\x00m\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
+
+= [MS-WMI] - Dissect ExecQuery_Response
+
+pkt=ExecQuery_Response(
+    b'\x00\x00\x02\x00\xb6\x00\x00\x00\xb6\x00\x00\x00MEOW\x01\x00\x00\x00\xe1Gy\x021\xd7\xce\x11\xa3W\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x05\x00\x00\x00\xe5M-e\x07^\xb40\xf9\xed\xa57\xb2\x97\x0e7\x03\xd8\x02\x00,\x01\x00\x00\x15\xfe\x86\xdf\x03\xd6o\x0f9\x00#\x00\x07\x00W\x00I\x00N\x00-\x008\x00K\x001\x005\x00V\x00K\x00V\x002\x004\x00S\x00G\x00\x00\x00\x07\x001\x009\x002\x00.\x001\x006\x008\x00.\x001\x000\x000\x00.\x001\x000\x000\x00\x00\x00\x00\x00\t\x00\xff\xff\x00\x00\x1e\x00\xff\xff\x00\x00\x10\x00\xff\xff\x00\x00\n\x00\xff\xff\x00\x00\x16\x00\xff\xff\x00\x00\x1f\x00\xff\xff\x00\x00\x0e\x00\xff\xff\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00',
+    ndr64=False
+)
+
+status = pkt.valueof("status")
+assert status == 0x0
