شنو هي Evil-WinRM؟

هي أداة تم برمجتها بلغة Ruby وتستخدم بروتوكول Windows Remote Management (WinRM) حتى تفتح جلسة تفاعلية (interactive session) على جهاز Windows عن بعد. وتكون مفيدة إذا عندك:

• اسم مستخدم (username)
• كلمة مرور (password) أو مفتاح private key
• الجهاز المستهدف مفعل بيه WinRM

يعني بمجرد ما تمتلك حساب وصلاحيات، تكدر تتصل بالجهاز وتتحكم بيه وكأنك متصل عليه مباشرة.

متطلبات استخدام الأداة:

حتى تشتغل وياك الأداة بدون مشاكل، لازم تتأكد من هاي الشغلات:

• الجهاز المستهدف مفعل بيه WinRM (بشكل افتراضي يكون مفعل بسيرفرات Windows).
• المنفذ 5985 أو 5986 مفتوح (HTTP/HTTPS).
• عندك صلاحيات مستخدم (User/Password) أو مفتاح خاص.
• جهازك يحتوي على Ruby

طريقة التثبيت:

1. تثبيت Ruby إذا ما موجود:

sudo apt update
sudo apt install ruby -y

2. تثبيت Evil-WinRM:

gem install evil-winrm

تكدر تتأكد إنو اشتغلت:

evil-winrm -h

طريقة الاستخدام:

السيناريو الأول: عندك يوزر وباسورد

evil-winrm -i <IP> -u <username> -p <password>

مثال:

evil-winrm -i 42.202.19.5 -u administrator -p 'Passw0rd!'

السيناريو الثاني: عندك private key (مفتاح خاص)

evil-winrm -i <IP> -u <username> -k <path_to_private_key>

مثال:

evil-winrm -i - 42.202.19.5 -u administrator -k ./id_rsa

خواص ومزايا Evil-WinRM:

✅ رفع الملفات (upload):

upload shell.exe

✅ تحميل ملفات من السيرفر:

download C:\Users\admin\Desktop\flag.txt

✅ تنفيذ سكربتات PowerShell مباشرة:

powershell -c "Get-LocalUser"

✅ تحميل سكربتات Powershell من جهازك وتشغيلها:

script C:\tools\privesc.ps1

✅ خاصية الـ plugins:

تقدر تضيف موديولات مخصصة تشتغل أثناء الجلسة، مثل AMSI bypass أو Mimikatz، وتستدعيها بالأمر:

use plugin_name

شلون تفحص إذا الـ WinRM شغال على الهدف؟

قبل لا تجرب الأداة، تأكد أنو الـ WinRM مفعل على الهدف:

nmap -p 5985,5986 42.202.19.5