安全实验室 | 内网渗透—利用WinRM实现端口复用&反弹SHELL-





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

国家网信办发布《国家网络安全事件报告管理办法》

2025-09-16

数字医学与健康大会DMHC——美创与您相约古都金陵

2025-08-12

美创科技打造县域医疗灾备新标杆｜神木市医院 HIS 系统数据库分钟级切换演练实录

2025-07-02

百万罚单警示！DCAS助力金融机构筑牢数据安全防线，实现监管合规

2025-06-20

2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

2025-02-07

每周安全速递³⁵⁸ | 南卡罗来纳州第五学区确认数据泄露

2025-09-16

每周安全速递³⁵⁷ | 研究人员披露DireWolf勒索组织

2025-09-08

每周安全速递³⁵⁶ | Anthropic阻止AI驱动勒索攻击

2025-09-01

每周安全速递³⁵⁵ | Crypto24勒索软件研发定制EDR规避工具

2025-08-25

每周安全速递³⁵⁴ | Charon勒索软件攻击中东公共与航空部门

2025-08-25

安全实验室 | 内网渗透—利用WinRM实现端口复用&反弹SHELL

发布时间：2021-01-15 阅读次数： 337 次

WinRM（Windows Remote Management）是Windows远程管理的简称，WinRM基于Web服务管理（WS-Management）标准，使用80和443端口，可以在对方开启防火墙的情况下远程管理目标机。在Windows Server 2008 R2以上的系统中都默认开启该服务。如果防御者配置不当，攻击者在内网渗透中很可能会利用WinRM实现端口复用，进而实现内网无文件攻击反弹shell。本期美创安全实验室将给大家介绍相关攻击原理及方法。

Part 1、WinRM端口复用原理

使用Windows的远程管理服务WinRM可以实现端口复用，结合HTTP.sys驱动自带的端口复用功能，一起实现正向的端口复用后门。

HTTP.sys驱动是IIS的主要组成部分，主要负责HTTP协议相关的处理，他有一个重要的功能是端口共享（Port Sharing）。所有基于HTTP.sys驱动的HTTP应用都可以共享同一个端口，只需要各自注册的URL前缀不相同即可。

而WinRM就是在HTTP.sys上注册了wsman的URL前缀，默认监听在5985端口。因此，在安装了IIS的Windows服务器上，开启WinRM服务后修改默认监听端口为80即可实现端口复用，通过Web端口登录Windows服务器。使用netsh http show servicestate命令可以查看所有在HTTP.sys驱动上注册过的URL前缀。

Part 2、端口复用配置

对于Windows Server 2008以上的系统中，WinRM服务默认启动并监听在5985端口上。如果服务器本来就监听了80和5985端口，则我们既需要保留原本的5985监听端口，同时需要新增Winrm监听的80端口。这样的话，WinRM同时监听80和5985端口。这样既能保证原来的5985端口管理员可以正常使用，我们也能通过80端口远程连接WinRM。

通过下面的命令，可以新增WinRM一个80端口的监听。

Winrm set winrm/config/service

@{EnableCompatibilityHttpLinstener=”true”}