← Regresar a lecciones

  • windows

  • smb

  • winrm

  • hacking-etico

  • enumeración

Explorando Windows desde afuera - SMB, WinRM y otras puertas traseras

SMB
evil-winrm

Detrás de cada máquina Windows en una red, hay servicios que hablan. Algunos en voz alta, como RDP, que muestra escritorios completos. Otros más discretos, como SMB, que se limitan a compartir archivos. Pero todos, sin excepción, pueden convertirse en puertas abiertas si no se configuran bien. Hoy te acercas a una máquina que te va a enseñar eso, cómo escuchar esas voces. Cómo descubrir lo que otros dejaron expuesto.

Estas máquinas tiene activos varios servicios. Veamos qué son y por qué importan.

  • Puerto 139 (NetBIOS): Es una tecnología antigua que todavía sobrevive en algunas redes. Su propósito es ayudar a identificar y localizar dispositivos y servicios compartidos, como carpetas o impresoras. Es como una libreta de direcciones interna de Windows.
  • Puerto 445 (SMB): Aquí es donde ocurre la magia y a veces el desastre. SMB (Server Message Block) permite compartir archivos, carpetas e impresoras en red. Si se configura sin autenticación o sin restricciones, puede revelar mucho más de lo que debería.
  • Puerto 5985 (WinRM): Windows Remote Management es un servicio que permite la administración remota de máquinas a través de comandos en PowerShell. Es potente, elegante… y, si alguien tiene acceso con privilegios, puede convertirse en una autopista directa al sistema.
  • Puerto 3389 (RDP): Remote Desktop Protocol ofrece acceso gráfico a la máquina. Cuando está habilitado, puedes controlar Windows como si estuvieras frente a él. Es útil, pero también riesgoso si se combina con credenciales filtradas.

SMB

En esta clase, lo primero que necesitas hacer es enumerar SMB. Porque SMB tiene memoria. Si hay carpetas compartidas sin protección, puedes verlas desde afuera, sin necesidad de ser usuario del sistema. Puedes usar herramientas como smbclient, smbmap, enum4linux o incluso nmap para explorar esos recursos.

Por ejemplo, usando smbclient:

1smbclient -L \\IP_OBJETIVO\

Este comando te muestra qué recursos compartidos hay disponibles. Si alguno no requiere autenticación, puedes montarlo directamente:

1smbclient \\\\IP_OBJETIVO\\share

Y ahí dentro podrías encontrar archivos como alice_creds.txt y backup.zip. Ese primer archivo te da algo directo, un usuario y su contraseña. Pero el segundo, el .zip, guarda algo más profundo: un hash. Ese hash pertenece a la cuenta Administrator y te da acceso a WinRM y aquí es donde entra una herramienta clave, evil-winrm.

evil-winrm

Evil-WinRM es una utilidad diseñada para conectarte remotamente a una máquina Windows a través del puerto 5985. Pero no como un simple usuario. Te abre una PowerShell remota, interactiva, práctica, desde la cual puedes moverte por todo el sistema.

Lo potente de Evil-WinRM es que puedes conectarte incluso si no tienes la contraseña real, siempre que tengas el NTLM hash del usuario. Y eso es exactamente lo que puedes encontrar en este ejercicio.

El uso básico es:

1evil-winrm -i <IP> -u Administrator -H <NTLM_HASH>

Desde ese momento, estás dentro, con permisos completos y con la capacidad de buscar, leer, ejecutar. Pero recuerda, llegar ahí no es casualidad. Es el resultado de una serie de decisiones mal tomadas, compartir archivos sin control, almacenar credenciales en texto plano, no cifrar adecuadamente los archivos .zip, permitir autenticación con hashes y exponer servicios remotos.

Tú los estás viendo desde afuera, con el foco de quien aprende. Pero muchos de estos errores viven en sistemas reales, con datos reales.