https://iis.taget.network/pswa/ + credentials === Initial Access + Persistence

That's life.

Предположим, что вы счастливый обладатель пачки валидных учетных данных из логов стилера, а может быть, вы поломали хэшик или каким-то чудом нашли валидные креды администратора IIS-сервера на внешке или внутри периметра. Вам жуть как не хочется заниматься всяческим занудством вроде написания собственного вебшелла под Windows, старые методы закрепления стухли и палят ваше присутствие всяческими модными сертифицированными СЗИ, пивотинг не пивотит. А закрепиться крайне важно и нужно.

Подписывайся на AD_POHEQUE и ставь 👾

PSWA — это функция Windows Server, введенная в Windows Server 2012, которая выступает в роли шлюза, предоставляющего веб-консоль PowerShell. Эта консоль функционально схожа с консолью PowerShell, которую вы видите на локальной машине.

Ключевые функции PSWA включают:

Доступ через браузер: PSWA работает с большинством современных веб-браузеров, предоставляя гибкость в выборе устройства для удалённого управления.
Независимость от платформы: PSWA позволяет администраторам управлять серверами Windows с устройств, не работающих на Windows, включая мобильные телефоны и планшеты.
Безопасная связь: PSWA использует HTTPS и требует аутентификации для всех подключений, что повышает безопасность удалённых задач управления.
Настраиваемые правила авторизации: Администраторы могут настраивать детализированные правила авторизации в PSWA.
Поддержка существующих сценариев PowerShell: Большинство команд и сценариев PowerShell, которые работают в традиционной консоли PowerShell, будут также работать в веб-основанной консоли PSWA.
Интеграция с аутентификацией Windows: PSWA можно настроить для использования учётных записей Active Directory или локальных машин для аутентификации.
Подключение к удалённым компьютерам: Пользователи могут подключаться к удалённым компьютерам, просто введя имя компьютера в настройках подключения PSWA, что позволяет управлять несколькими машинами с одного веб-интерфейса.

Что мы можем с этим сделать?

Конечно же, злоупотреблять легитимным функционалом!

От имени администратора устанавливаем PowerShell Web Access:

dism /online /enable-feature /featurename:WindowsPowerShellWebAccess /all
# или
Enable-WindowsOptionalFeature -Online -FeatureName WindowsPowerShellWebAccess

Включаем функицонал WindowsPowerShellWebAccess

Блестяще! Мы установили необходимый пакет.

UPD:

Убедитесь, что хватает привилегий и членства в необходимых группах, если вы проворачиваете это со свежесозданным пользователем.

Теперь установим наше веб-приложение PowerShell Web Access для удалённого администрирования:

Install-PswaWebApplication -UseTestCertificate

Успешная установка PSWA в путь https://localhost/pswa/

Add-PswaAuthorizationRule -UserName WIN-ASEF7J1UO3I\Administrator -ComputerName WIN-ASEF7J1UO3I -ConfigurationName 31337

Добавляем правило для удаленного доступа через PSWA. Не забывайте переписать все под себя и корректно задать атрибут -ComputeName

При переходе по ссылке https://iis.target.network/pswa/en-US/logon.aspx (в реальной жизни замените ссылку на URL сервера, к которому вы имеете доступ, плюс полезно будет добавить строку в ваш словарик fuzz.txt для перебора директорий и файлов на веб-сервере), вы обнаружите приятное окно аутентификации в Windows PowerShell Web Access.

ЕСЛИ ЧИТАЕШЬ С МОБИЛЬНИКА — ЛИСТАЙ КАРУСЕЛЬ ВПРАВО!

Страница аутентификации Windows Powershell Web Access

Вводим креды.

Вы внутри. Поздравляю!

В завершение могу сказать, что данный метод прекрасно подойдёт для закрепления на серверах IIS. И если у вас есть козырь в рукаве в виде валидных учетных данных администратора, то добро пожаловать в сеть ваших "Заказчиков".

Подписывайся на AD_POHEQUE и ставь 👾