WinRM adalah alat saya Remote Access
Salah satu blog favorit saya tahun lalu adalah Trik Setan dan Treats dari CrowdStrike. Dalam tulisan ini, CrowdStrike rincian tentang mentransfer file aktor tradecraft mendalam panda. Dalam upaya untuk rok pengetahuan tentang non-berburu, panda dalam menggunakan alat manajemen sistem sasaran alami untuk menyebar lateral di Internet. Dengan pengecualian dari bentuk mereka, mereka tidak menggunakan non-penyelesaian tujuan mereka.
Ini adalah ide penting. Salah satu peran favorit saya tim merah adalah untuk memberikan saingan kredibel untuk menerapkan ide-ide baru untuk pertahanan jaringan. Ada pergeseran positif dari pasif Blinky jendela menanyakan analis yang memiliki alat untuk mengajukan pertanyaan skala. Jika operator Red memiliki potensi untuk tumbuh ramping dan pertumbuhan analis ini untuk mengancam pembela.
Semuanya kemudian berbicara samping, adalah penting untuk berpikir tentang bagaimana untuk melakukannya. Salah satu cara untuk melakukan ini adalah dengan melihat cara kerja yang berbeda. Saya pikir itu lebih penting untuk memiliki konsep kejahatan dan cara untuk meniru operasi ofensif yang sedang berlangsung. Salah satu cara favorit saya sekarang bermain sebagai kedalaman panda dan mengurangi penggunaan non mungkin.
Saya juga menyadari bahwa monitor jaringan pendukung yang berkualitas aset tertentu lebih dari mereka menonton orang lain. kontroler domain ada satu negara. Pengalaman senjata dan taktik tim yang tidak skala itu akan terlihat seperti elang ke lapangan, mereka tahu bahwa tim merah adalah aplikasi mereka. Stasiun yang … kurang penting.
Saya suka tinggal di pusat dan penggunaan non-alami alat untuk mempertanyakan dan server kontrol, serta mungkin.
Ada banyak cara untuk penyalahgunaan kepercayaan menjalankan perintah pada sistem remote. u, Schtasks, SC, dan MIC antara favorit saya. Saya penggemar juga WinRM.
layanan WinRM adalah Windows Remote Management. Hal mendengarkan pada port 5985 dinonaktifkan secara default, tetapi beberapa administrator sistem memungkinkan untuk dengan mudah jarak jauh mengelola server mereka [maka nama, kan?]
Sementara WinRM selesai, Anda dapat menggunakan PowerShell jauh wawancara server untuk mengelola . Atau, jika Anda merasa beruntung, Anda dapat mengaktifkan WinRM sendiri. Berikut adalah cara untuk mengaktifkan WinRM melalui Beacon:
PowerShell Aktifkan-PSRemoting force
Output akan terlihat seperti ini:
WinRM membutuhkan hubungan saling percaya dengan sistem target. Anda harus mendaftar untuk pengguna domain yang merupakan administrator lokal untuk tujuan tersebut. Anda dapat mencuri 1-1 dengan Runas atau menggunakan Mimikatz membuat sinyal lulus hash sandi
Untuk pengendalian dimaksudkan untuk digunakan WinRM dari Beacon, di sini adalah sintaks.
PowerShell InvokeCommand -ComputerName -ScriptBlock tujuan {dir c:}
PowerShell melewati WinRM Anda masuk ke dalam naskah blok. Setelah perintah ini selesai, PowerShell kembali output untuk Anda.
pilihan untuk menjalankan perintah remote pada target untuk mendapatkan output kembali baik. Dalam banyak kasus, itu adalah kapasitas yang cukup untuk bekerja dan mencapai tujuan. Salah satu favorit, bahkan jika kemungkinan Mimikatz menjalankan cara ini. PowerSploit memanggil-Mimikatz prosedur memungkinkan Anda untuk menentukan langkah -ComputerName. Fakta menyenangkan: langkah ini bisa memiliki sejumlah sistem yang berjalan pada Mimikatz. . Untuk pilihan ini ditentukan, PowerSploit melewati WinRM mimikatz, dalam memori dari target jarak jauh, dan melaporkan hasilnya kembali kepada Anda
Berikut adalah sintaks:
PowerShell-impor /local/path/to/PowerSploit/Exfiltration/Invoke-Mimikatz.ps1 memanggil PowerShell-Mimikatz -ComputerName tujuan
Berikut adalah video dari konsep-konsep ini dalam tindakan:
Di antara Mimikatz mampu mengeksekusi perintah sewenang-wenang dari jarak jauh, saya memiliki banyak uptime tempat. Meniru aktor panjang tertanam yang melakukan hal-hal yang sedikit berbeda, hal ini tentunya baik untuk mencoba TTP
Filed under:. Tim Red
Model Wanita terbaru TAS