内网渗透测试:利用 WinRM 进行横向渗透

已于 2024-01-09 17:09:31 修改
阅读量292 收藏 2
点赞数
文章标签: web安全
于 2023-07-29 15:15:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44005305/article/details/131933111
版权

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-e0VVLoOU-1690337668560)(https://image.3001.net/images/20210805/1628096390_610ac7860256716bcf564.jpg!small)]

前言

WinRM 作为 Windows 操作系统的一部分,是一项允许管理员在系统上远程执行管理任务的服务。这样的服务当然不会被攻击者错过,本篇文章我们就来讲讲
WinRM 在横向渗透中的使用。

文中若有不当之处,还请各位大佬师傅们多多点评。

我的博客:https://whoamianony.top/

WinRM 服务简介

WinRM 是 Windows Remote Managementd(Windows 远程管理)的简称,是 Web 服务管理标准 WebService-
Management 协议的 Microsoft
实现。该协议是基于简单对象访问协议(SOAP)的、防火墙友好的标准协议,允许来自不同供应商的硬件和操作系统能够互操作。

WinRM 作为 Windows 操作系统的一部分,是一项允许管理员在系统上远程执行管理任务的服务。并且,WinRM 默认情况下支持 Kerberos 和
NTLM 身份验证以及基本身份验证,初始身份验证后,WinRM 会话将使用 AES 加密保护。使用 WinRM 服务需要拥有管理员级别的权限。

在现代 Windows 系统中,WinRM HTTP 通过 TCP 端口 5985 进行通信,而 HTTPS(TLS)通过 TCP 端口 5986
进行通信。如果所有的机器都是在域环境下,则可以使用默认的 5985 端口,否则的话则通过 5986 端口使用 HTTPS 传输。

使用 WinRM 我们可以在远程主机设置了防火墙的情况下远程管理这台服务器,因为启动 WinRM 服务后,防火墙默认会自动放行 5985
端口。这样的管理服务当然不会被攻击者错过,在内网渗透中,我们可以使用 WinRM
服务进行横向移动,并且使用这种远程连接进行横向移动不容易被察觉到,也不会占用远程连接数。

WinRM 服务的安装与配置

要利用 WinRM 服务,并让winrm命令行工具执行相应操作,通信的双方必须同时安装和配置好 Windows 远程管理。

WinRM 服务的安装

Windows 远程管理服务(WinRM)适用于 Windows Server 2008 和 Windows 7
以后的操作系统并自动与其支持的操作系统一起安装,但是只有在 Windows Server 2008 以上的操作系统 WinRM
服务才会自动启动,其他都需要手动开启。

WinRM 服务的配置

默认情况下,不配置 WinRM 侦听器。 即使 WinRM 服务正在运行,也不能接收或发送 WS-Management 协议消息。

使用以下命令可以查看 WinRM 侦听器配置情况:

winrm e winrm/config/listener  
# 或 winrm enumerate winrm/config/listener

image-20210804153757275

如上图,有几个参数:

Address:表示监听器所监听的地址。

Transport:用于指定用于发送和接收 WS-Management 协议请求和响应的传输类型,如 HTTP 或 HTTPS,其默认值为 HTTP。

Port:表示监听器所监听 TCP 端口。

Hostname:正在运行 WinRM 服务的计算机的主机名。该值必须是完全限定的域名、IPv4 或 IPv6 文本字符串或通配符。

Enabled:表示是启用还是禁用侦听器,其默认值为 True,表示启用。

URLPrefix:用于指定要在其上接受 HTTP 或 HTTPS 请求的 URL 前缀。 例如,如果计算机名称为 SampleMachine,则
WinRM 客户端将在目标地址中指定https://SampleMachine/<在目标地址中指定的 URLPrefix>。 默认 URL 前缀为
“wsman”。

CertificateThumbprint:用于指定服务证书的指纹。

ListeningOn:用于指定侦听器使用的 IPv4 和 IPv6 地址。

若要检查具体配置设置的状态,可以使用以下命令:

winrm get winrm/config

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XvqWCcQp-1690337668563)(https://image.3001.net/images/20210805/1628096390_610ac7868e6d016d3dd9f.png!small)]

你可以使用以下命令启动 WinRM 服务,并对 WinRM 服务进行默认配置:

winrm quickconfig

image-20210804160813342

该命令将执行以下这些操作:

启动 WinRM 服务,并将服务启动类型设置为 “自动启动”。启动后,防火墙会默认并放行 5985 端口。

为在任何 IP 地址上使用 HTTP 或 HTTPS 发送和接收 WS-Management 协议消息的端口配置侦听器。

定义 WinRM 服务的 ICF 异常,并打开 HTTP 和 HTTPS 端口。

还有一些其他配置命令:

# 使用 PowerShell 查询 WinRM 状态  
Get-WmiObject -Class win32_service | Where-Object {$_.name -like "WinRM"}  
​  
# 开启 WinRM 远程管理  
Enable-PSRemoting –force  
  
# 设置 WinRM 自启动  
Set-Service WinRM -StartMode Automatic  
​  
# 对 WinRM 服务进行快速配置,包括开启 WinRM 和开启防火墙异常检测, HTTPS传输, 5986端口  
winrm quickconfig -transport:https      
  
# 为 WinRM 服务配置认证  
winrm set winrm/config/service/auth @{Basic="true"}  
  
# 修改 WinRM 默认端口  
winrm set winrm/config/client/DefaultPorts @{HTTPS="8888"}  
  
# 为 WinRM 服务配置加密方式为允许非加密:  
winrm set winrm/config/service @{AllowUnencrypted="true"}  
  
# 设置只允许指定 IP 远程连接 WinRM  
winrm set winrm/config/Client @{TrustedHosts="192.168.10.*"}  
​  
# 设置允许所有 IP 远程连接 WinRM  
winrm set winrm/config/Client @{TrustedHosts="*"}

WinRM 的默认组访问权限

在安装过程中,WinRM 将创建本地组WinRMRemoteWMIUsers__,然后,WinRM
将远程访问设置为本地管理组和WinRMRemoteWMIUsers__组中的用户。我们可以通过以下命令

net localgroup WinRMRemoteWMIUsers__ <username> /add

来向WinRMRemoteWMIUsers__组中添加本地用户、域用户或域组。

利用 WinRM 服务远程执行命令

使用 winrs 命令

WinRS 是 Windows 的远程 Shell,它相当于 WinRM 的客户端,使用它可以访问运行有 WinRM 的服务器,不过自己也得装上 WinRM
才能运行 WinRS。使用如下。

在 WinRM 客户端主机上执行以下命令:

winrs -r:http://192.168.93.30:5985 -u:administrator -p:Whoami2021 whoami  
winrs -r:http://192.168.93.30:5985 -u:administrator -p:Whoami2021 ipconfig  
# winrs -r:[ip] -u:[username] -p:[password] <command>

执行后得到以下报错:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1BAUjoIl-1690337668566)(https://image.3001.net/images/20210805/1628096391_610ac7872c7fc3bd7a4e4.png!small)]

Winrs error:WinRM 客户端无法处理该请求。可以在下列条件下将默认身份验证与 IP 地址结合使用: 传输为 HTTPS 或目标位于
TrustedHosts 列表中,并且提供了显式凭据。使用 winrm.cmd 配置 TrustedHosts。请注意,TrustedHosts
列表中的计算机可能未经过身份验证。 有关如何设置 TrustedHosts 的详细信息,请运行以下命令: winrm help config。

此时,需要在客户端上执行下面这条命令,设置为信任所有主机,再去连接即可:

winrm set winrm/config/Client @{TrustedHosts="*"}

然后便可以正常使用了:

image-20210804172824608

如上图所示,成功在远程主机上执行命令。

使用

可试读前40%内容

¥ 4.9 全文阅读

开通会员免费阅读 最低0.3元/天

rm/config/Client @{TrustedHosts=“*”}

然后便可以正常使用了:

[外链图片转存中…(img-9gekCQqu-1690337668566)]

如上图所示,成功在远程主机上执行命令。

使用

可试读前40%内容

¥ 4.9 全文阅读

开通会员免费阅读 最低0.3元/天

网络安全工程师(白帽子)企业级学习路线

第一阶段:安全基础(入门)

img

第二阶段:Web渗透(初级网安工程师)

img

第三阶段:进阶部分(中级网络安全工程师)

img

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

学习资源分享

教IT的无语强
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Go-winrm-cli-一个命令行工具通过WinRMWindows机器上远程执行命令
08-13
winrm-cli - 一个命令行工具通过WinRMWindows机器上远程执行命令
开启和关闭Windows远程管理(WinRM
热门推荐
慢谈人生
12-01 3万+
Windows远程管理(WinRM)是Windows Server 2003 R2以上版本中一种新式的方便远程管理的服务。WinRM是远程管理应用的“服务器”组成部分,并且WinRS(Windows远程Shell)是WinRM的“客户端”,它在远程管理WinRM服务器的计算机上运行。 然而,我们应该注意到两个计算机必须手动安装WinRS,还要使WinRM能够启动并从远程系统传回信息。 WinRM基于Web服务管理(WS-Management)标准。 这么说的意思是:WinRM使用HTTP协议(80/5
横向移动 – WinRM
最新发布
zkaqlaoniao的博客
04-24 838
同学们可能没有听说过WinRM横向移动技术,今天我给大家分析讲解一波儿看不懂也没关系,先看看有个大概的概念,以后慢慢就懂了。
将计算机添加到TrustedHosts列表
fh2096的博客
01-05 5568
怎么将计算机添加到TrustedHosts列表 注意: 这些设置会影响这台计算机上的所有用户 以下操作均在PowerShell中进行, 请务必以管理员身份运行PowerShell 如何查看TrustedHosts列表 1 get-item wsman:\localhost\Client\TrustedHosts 将所有计算机都添加到TrustedHosts列表 1 set-item wsman:\...
Windows 远程控制之 WinRM
一直被模仿,从未被超越
01-17 1370
WinRM是很早之前微软推出的一种新式的方便远程管理的服务Windows Remote Management的简称,相比RDP远程桌面协议,WinRM这种服务更具备轻量、低宽带的特性,WinRMWinRS(Windows Remote Shell)的使用可以让远程连接的运维人员拥有CMDShell环境,通过命令执行对服务器与服务器数据进行管理。但在 Win7、Win10、Win11 这些单机系统默认存在但没有正常启用WinRM服务,仍需要在本地进行命令执行进行配置,一、什么是winRM服务。
WinRM-Scripts:WinRM脚本
04-02
WinRM脚本通常指的是利用PowerShell(一个强大的命令行工具和脚本语言)编写的一系列命令,用于自动化WinRM的相关操作。PowerShell与WinRM结合使用,可以极大地提高IT运维效率,尤其是在大规模的Windows服务器环境中...
packer-communicator-winrm:Packer WinRM通讯程序插件(已移动,请参阅自述文件。)
05-23
一个通信器插件,用于使用Windows远程管理与机器进行交互。 有关WinRM的更多信息,请访问。 地位 重要事项该插件进入 ,然后进入 。 此仓库中的代码不可生成。 道具 joefitzgerald / packer-windows( ) masterzen...
内网渗透辅助工具集.zip
01-03
强大的内网渗透辅助工具集,支持rdp,ssh,redis,postgres,mongodb,mssql,mysql,winrm等服务爆破,快速的端口扫描,强大的web指纹识别,各种内置服务的一键利用(包括ssh完全交互式登陆,mssql提权,redis…
内网-利用WinRM实现内网无文件落地攻击.pdf
09-18
内网-利用WinRM实现内网无文件落地攻击.pdf
go-winrm:GoLang 的 WinRM 客户端库
07-12
不受支持的 Go lang WinRM 客户端库这最初是从分叉出来的。 这里有一些错误修复和一堆我正在玩弄的其他想法,但最终这些应该回到上游。 如果你想帮助做到这一点,太好了! 我目前将此库用于我的 Packer WinRM 通信器...
windows server winrm介绍
c1052981766的专栏
04-11 4591
Windows远程管理(WinRM)Server2008R2中默认开启该服务,从Server2012开始,该服务便集成在系统中默认开启,Win7默认安装此服务,但是默认为禁用状态,Win8,Win10默认开启。这种远程连接不会被客户端察觉到,也不会占用远程连接数!使用端口:http 5985 https 5986//快速在服务端运行winrm c:\&gt; winrm quickconfig...
使用 PowerShell+WinRM 通过 windows 服务器 查看远程磁盘大小
lizhengze1117的博客
06-21 1840
目录知识储备WinRMPowerShell脚本保存凭据方法Invoke-CommandPSSession将计算机名称添加到TrustedHosts列表三种方法查看远程磁盘大小 知识储备 WinRM Windows 远程管理 (WinRM) 是 WS-Management 协议的 Microsoft 实现。该协议是基于简单对象访问协议 (SOAP) 的、防火墙友好的标准协议,使来自不同供应商的硬件和操作系统能够互操作。WS-Management 协议由硬件和软件制造商群体开发,作为一种公共标准,可用于与实现该
学习笔记-WinRM
人饭子的博客
11-05 1072
WinRM 什么是 WinRM Windows 远程管理(WinRM)是 WS-Management Protocol 的 Microsoft 实现。 WS-Management 协议是一种基于 SOAP 的防火墙友好协议,旨在用于系统查找和交换管理信息。WS-Management 协议规范的目的是为企业系统提供互操作性和一致性,其对防火墙友好的协议,允许来自不同供应商的硬件和操作系统进行互操...
windows服务器远程执行命令(PowerShell+WinRM
weixin_33728268的博客
05-18 1万+
Windows 远程管理 (WinRM) 是 WS-Management 协议的 Microsoft 实现。该协议是基于简单对象访问协议 (SOAP) 的、防火墙友好的标准协议,使来自不同供应商的硬件和操作系统能够互操作。WS-Management 协议由硬件和软件制造商群体开发,作为一种公共标准,可用于与实现该协议的任何计算机设备远程交换管理数据。使用Pow...
winRM横向移动
网络安全。
02-15 2056
0x01 winRM简介 WinRM 是 Microsoft 对 WS-Management 协议的实现,WS-Management 协议即一种基于标准简单对象访问协议[SOAP]的 “防火墙友好” 协议,它让来自不同供应商的硬件和操作系统能够互相操作。winRM的默认端口为5985(http)或5986(https)。 winRM横向移动同时适用于工作组和域环境。 0x02 利用条件 1、在w...
横向远程命令执行——WINRM
YUKIDDDD的博客
08-01 1352
横向远程命令执行——WINRM1.cmd操作2.powershell操作 WinRMWindows远程管理)是Microsoft 在Windows中对WS-Management的实现,它使系统可以跨通用网络访问或交换管理信息。利用脚本对象或内置的命令行工具,WinRM可以与可能具有基板管理控制器(BMC)的任何远程计算机一起使用,以获取数据。也可以获取基于Windows的计算机(包括WinRM)。 WinRM默认端口5985(HTTP端口)或5986(HTTPS端口),若配置了WINRM远程服务,当我们
远程CMD指令,WINRM使用方法
zhye3690592的专栏
01-04 860
如何使用远程CMD指令,来运行远程电脑中的脚本或者软件,WinRm
Invoke-Command 执行报错:解决方法
一直被模仿,从未被超越
02-14 1754
10.3.0.227] 连接到远程服务器 10.3.0.227 失败,并显示以下错误消息: WinRM 客户端无法处理该请求。如果身份验证方案与 Kerberos 不同,或者客户端计算机未加入到域中, 则必须使用 HTTPS 传输或者必须将目标计算机添加到 TrustedHosts 配置设置。出现该问题是由于本机没有将要远程登录主机的IP:10.3.0.227加入到本机的可信主机列表中。2、查看子目录,其中TrustedHosts会列出本机已添加的可信主机IP。4、再次查看子目录,成功加入。
winrm 拒绝访问
10-09
WinRMWindows 远程管理)是一种用于远程管理 Windows 操作系统的协议和技术。当在尝试远程访问时,可能会遇到“WinRM 拒绝访问”的错误。 这个错误通常是由于以下原因之一导致的: 1. 防火墙设置: 防火墙可能会阻止 WinRM 的连接。要解决此问题,需要确保在防火墙的入站规则中允许通过 WinRM 的流量。 2. WinRM 服务未启动:如果 WinRM 服务未启动,则无法进行远程连接。可以通过在服务管理器中手动启动 WinRM 服务或运行以下命令来确保该服务正在运行:`net start WinRM`。 3. 用户权限限制:如果当前用户不具有足够的权限进行远程连接,也会导致“WinRM 拒绝访问”的错误。在此情况下,可以尝试使用具有管理员权限的用户登录或添加当前用户到具有远程访问权限的组。 4. 网络配置问题:如果网络配置不正确,也可能导致该错误。此时,需要检查网络设置和连接,确保可以与远程计算机建立连接。 5. SSL 配置问题:如果使用加密方式连接远程计算机,并且 SSL 配置不正确,也可能导致“WinRM 拒绝访问”的错误。在此情况下,需要检查 SSL 证书和配置,确保其正确并与远程计算机匹配。 总之,要解决“WinRM 拒绝访问”的错误,需要确保防火墙设置正确、WinRM 服务已启动、用户具有足够的权限、网络配置正确且 SSL 配置正确。这样,就可以成功远程访问 Windows 操作系统了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值