WinRM — HTB Academy

◄ BACK TO PROTOCOLS

► HTB ACADEMY · MODULE 112 · SECTION 18/21

WinRM — WINDOWS REMOTE MANAGEMENT

POWERSHELL REMOTE · PORTS 5985/5986 · EVIL-WINRM

5985

HTTP Port

5986

HTTPS Port

PowerShell

Shell Type

SOAP

Protocol

evil-winrm

Pentest Tool

ما هو WinRM؟

Windows Remote Management — إدارة Windows عن بعد عبر command line. يستخدم SOAP protocol. مثبّت ومفعّل افتراضياً من Windows Server 2012. يعطيك PowerShell shell على الجهاز البعيد.

WinRM vs RDP

RDP: Desktop كامل + GUI
مثل تدخل البيت وتشوف كل شيء

WinRM: PowerShell فقط
مثل تكلم شخص بالهاتف وتعطيه أوامر
أسرع + أصعب للكشف 🎯

Ports

5985 HTTP ← الأكثر شيوعاً
5986 HTTPS ← مشفر

كانوا يستخدمون 80/443 قبلاً
تغيّروا لأن 80 محجوب غالباً

💡 WinRM يُستخدم كمان لـ: remote PowerShell sessions + event log merging + administration scripts

🔍 Nmap — Footprinting

nmap -sV -sC 10.129.201.248 -p5985,5986 --disable-arp-ping -n PORT STATE SERVICE VERSION 5985/tcp open http Microsoft HTTPAPI httpd 2.0 |_http-title: Not Found |_http-server-header: Microsoft-HTTPAPI/2.0 Service Info: OS: Windows # 5985 مفتوح = WinRM شغّال على HTTP ✅

⚡ evil-winrm — الاتصال والـ Shell

evil-winrm -i 10.129.201.248 -u Cry0l1t3 -p P455w0rD! Evil-WinRM shell v3.3 Info: Establishing connection to remote endpoint *Evil-WinRM* PS C:\Users\Cry0l1t3\Documents> ← PS = PowerShell! # أوامر بعد الدخول: *Evil-WinRM* PS> whoami ilf-sql-01\cry0l1t3 *Evil-WinRM* PS> hostname ILF-SQL-01 *Evil-WinRM* PS> dir C:\Users\Administrator\Desktop flag.txt ← 🎯

💡 PS = PowerShell — WinRM يعطيك PowerShell shell كامل على الجهاز البعيد

💻 Test-WsMan — من PowerShell (Windows)

# من Windows — تحقق إذا WinRM مفعّل: Test-WsMan -ComputerName TARGET ↓ wsmid : http://schemas.dmtf.org/wbem/wsman/1 ProtocolVersion : http://schemas.dmtf.org/wbem/wsman/1 # نتيجة = WinRM مفعّل ✅

⛓️ Attack Chain

🔍

Nmap

5985/5986

→

🔑

Credentials

من مكان ثاني

→

⚡

evil-winrm

PS Shell!

# 1. اكتشاف WinRM: nmap -sV TARGET -p5985,5986 # 2. اتصال بعد credentials: evil-winrm -i TARGET -u Administrator -p "Password123" *Evil-WinRM* PS C:\Users\Administrator\Documents> # 3. استكشاف: *Evil-WinRM* PS> whoami /priv # شوف صلاحياتك *Evil-WinRM* PS> net user # كل users *Evil-WinRM* PS> net localgroup administrators # الـ admins

⚠️ WinRM أفضل من RDP للـ pentest — أخف وأصعب للكشف لأنه command line فقط

🌐 Q&A

إيش PS في نتيجة evil-winrm؟

PS = PowerShell. WinRM يعطيك PowerShell shell على الجهاز البعيد. تقدر تكتب أي أمر PowerShell: whoami, ipconfig, dir, type (لقراءة ملفات), net user... إلخ.

ليش WinRM أفضل من RDP في الـ pentest؟

WinRM = command line فقط = أسرع وأخف وأصعب للكشف. RDP = GUI كامل = أبطأ وأكثر ضجيجاً وأسهل للكشف في الـ logs. في الـ pentest تريد أقل أثر ممكن.

إيش SOAP وليش WinRM يستخدمه؟

SOAP = Simple Object Access Protocol = طريقة لتبادل البيانات عبر HTTP/HTTPS. WinRM يستخدمه عشان يرسل الأوامر ويستقبل النتائج بطريقة منظمة. لهيك Port 5985 يظهر كـ HTTP في الـ scan.