EvilWinRM
🔎 ¿Qué es evil-winrm?
evil-winrm?evil-winrm es una herramienta escrita en Ruby que permite conectarse a una máquina Windows mediante el servicio WinRM (Windows Remote Management), el cual funciona sobre los puertos 5985 (HTTP) o 5986 (HTTPS).
WinRM es el equivalente moderno de RDP o PowerShell Remoting, y está basado en el protocolo WS-Management.
⚔️ ¿Por qué es tan usada en seguridad ofensiva?
Porque te da una shell interactiva con PowerShell en sistemas Windows con acceso remoto habilitado. Esto es mucho más poderoso que una simple reverse shell. Es como tener un "PowerShell nativo" corriendo con privilegios del usuario que comprometiste.
🧰 Funciones críticas y potentes de evil-winrm:
evil-winrm:1. 🔐 Acceso remoto con credenciales
Puedes conectarte con solo un usuario y contraseña:
O con un hash NTLM (pass-the-hash):
2. 📂 Carga y descarga de archivos
Subís o bajás archivos fácilmente dentro de la sesión:
3. 💣 Ejecución de scripts en PowerShell
Ideal para ejecutar herramientas como:
PowerView.ps1→ Para enumeración de Active Directory.SharpHound.ps1→ Para recolectar datos para BloodHound.Invoke-Mimikatz.ps1→ Para volcado de credenciales.
4. 🧪 Soporte para plugins
Puedes ampliar evil-winrm con plugins que permiten hacer cosas como:
Enumeración del sistema.
Ejecutar herramientas post-exploitation automáticamente.
Volcar credenciales.
Enumerar shares o servicios.
5. 🛡️ Evasión y ejecución sigilosa
Al tener acceso a PowerShell directamente, podés ejecutar comandos más sigilosos y complejos, evitando soluciones antivirus simples si sabés cómo ofuscar scripts.
🧠 Casos de uso típicos en pentest:
Post-exploitation tras obtener credenciales.
Movimiento lateral en entornos Windows con WinRM habilitado.
Recuperación de secretos desde archivos, SAM, o servicios en ejecución.
Recolección de datos para escalamiento de privilegios.
Last updated