从Nmap扫描到WinRM登录：一次完整的HTB靶场（5985端口）渗透实战记录

原创

于 2026-04-26 09:12:41 发布 · 331 阅读

标签

#渗透测试 #WinRM #HTB靶场

收录于

从Nmap扫描到WinRM登录：一次完整的HTB靶场渗透实战解析

在渗透测试的实战环境中，每个开放的端口都可能成为突破口，而5985端口的WinRM服务往往是被忽视的黄金通道。这次我们以HTB靶机为例，完整还原从信息收集到最终获得系统权限的全过程。不同于教科书式的步骤罗列，这里更关注实战中的决策逻辑——为什么选择5985端口？如何将Web漏洞转化为系统级访问？这些思考才是红队演练的核心价值。

1. 信息收集：发现隐藏的入口点

任何有效的渗透都始于细致的信息收集。使用Nmap进行全端口扫描时，参数组合直接影响结果质量。以下是经过实战验证的参数组合：

nmap -v -p- --min-rate 5000 -sV -sC 10.129.136.91

参数解析：

-p-：扫描所有65535个TCP端口
--min-rate 5000：提升扫描速度避免超时
-sV：服务版本探测
-sC：默认脚本扫描

扫描结果显示三个关键端口：

端口	服务	备注
80	Apache	Web应用入口
5985	WinRM	Windows远程管理协议
7680	pando-pub	文件传输服务

提示：5985端口常被企业防火墙放行，

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

失眠数羊

关注关注

8
点赞
踩
4

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

WinRM远程管理服务渗透利用（端口：5985）

墨痕诉清风的博客

04-19

3644

WinRM远程管理服务渗透利用（端口：5985）

网安学习日志（7）windows权限维持

qq_41819426的博客

01-17

2812

什么是权限维持？在我们通过入侵手段进入对方服务器后，通常会使用一些后门来维持权限方法诸如隐藏文件，隐藏账户等方法在这里不进行赘述（方法已经落后，容易被工具直接检测出来） 1.端口复用该后门的基本原理是使用Windows 的远程管理管理服务WinRM，组合HTTP.sys驱动自带的端口复用功能，一起实现正向的端口复用后门。 WinRM服务 WinRM全称是Windows Remote Management，是微软服务器硬件管理功能的一部分，能够对本地或远程的服务器进行管理。WinRM服务能够让管理员远程

参与评论您还未登录，请先登录后发表或查看评论

hackthebox- Froest （考点：Kerberos pre-authentication/win-rm&5985/域渗透）

冬萍子癸水

04-17

3316

nullinux rpcclient -U "" -N 10.10.10.161 enumdomusers gem install evil-winrm 科普

hack the box(5985 WinRM)

m0_56010012的博客

04-18

3404

nmap参数定义 -v：增加详细级别（基本上输出更多信息）-p-：此标志扫描0-65535范围内的所有TCP端口-sV：尝试确定端口上运行的服务版本-sC：使用默认NSE脚本扫描--min-rate:这用于指定Nmap每秒应发送的最小数据包数；数字越高，扫描速度越快 nmap -v -p- --min-rate 5000 -sV -sC 10.129.136.91 根据Nmap扫描的结果，机器使用Windows作为操作系统，在端口80上运行Apache Web服务器，在端口5985上运行WinR.

网络协议-TCP与UDP

qq_43381463的博客

10-23

1995

TCP与UDP

关于内网常见端口漏洞和windows下wmic

rlenew的博客

04-25

1733

WMIC是扩展WMI（Windows Management Instrumentation，Windows管理规范），提供了从命令行接口和批命令脚本执行系统管理的支持。在WMIC出现之前，如果要管理WMI系统，必须使用一些专门的WMI应用，比如SMS，或者使用WMI的脚本编程API，或者使用象CIM Studio之类的工具。如果不熟悉C++之类的编程语言或VBScript之类的脚本语言，或者不掌握WMI名称空间的基本知识，要使用WMI管理系统是很困难的。WMIC改变了这种情况，为WMI名称空间提供了一个强.

5985/wsman 是什么？

最新发布

qq_44534541的博客

06-03

2591

通过合理配置，5985/wsman 端口可以提供安全高效的 Windows 远程管理能力，是现代化数据中心的关键基础设施组件。服务，这是 Windows 远程管理 (WinRM) 的标准端口和协议。成功连接会显示 HTTP 400 错误（表示服务存在）5985/wsman 指的是在。

内网横向下的135,445与5985端口

qq_31812157的博客

03-11

1481

WMIC是Windows 管理仪表命令行(Windows Management InstrumentationCommand-line)的简称，它是一款命令行管理工具，使用WMIC，我们不但可以管理本地计算机，还可以管理统一局域网内的所有远程计算机（需要必要的权限），而被管理的计算机不必事先安装WMIC。自Windows98开始，Windows 操作系统都支持WMICWMIC是一系列工具集组成的。

windows安全加固--关闭非必要端口

07-14

7292

windows 系统中默认开放许多不安全的端口，而且这些端口在日常工作中可能并不会进行使用，将其进行关闭是比较可行的方法。下面的三个端口可以设置完成后，最后一起进行一次重启。135端口主要用于使用RPC（Remote Procedure Call，远程过程调用）协议并提供DCOM（分布式组件对象模型）服务，通过RPC可以保证在一台计算机上运行的程序可以顺利地执行远程计算机上的代码；使用DCOM可以通过网络直接进行通信，能够包括HTTP协议在内的多种网络传输。其中百度百科对该端口有的建议也是建议将其关闭首先w

横向移动 – WinRM

2301_80127209的博客

04-19

1211

同学们可能没有听说过WinRM横向移动技术，今天我给大家分析讲解一波儿看不懂也没关系，先看看有个大概的概念，以后慢慢就懂了。

2021-08-29web培训作业3（fckeditor判断，通达oa漏洞，渗透脑图）

qq_45290991的博客

08-29

952

Web3 作业一、写一个脚本判断fck的版本思路：找到“version”字段，向下取30个字符，其中规则匹配1.2 1.2.3 1.2.3.4 这样的。输出。 Python脚本： import os import re import requests def check(url): headers={ 'User-Agent':"Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, l...

这39个端口黑客最常攻击，看看有哪些？

logic1001的博客

10-25

2101

在计算机网络中，端口是指网络通信的端点，用于标识网络中不同的服务或应用程序。每个端口都对应一个特定的网络协议，并且在一个主机的IP地址上可以有多个端口同时开放。端口的编号范围从0到65535，其中较低编号的端口通常用于众所周知的服务（称为“知名端口”），例如HTTP（80端口）、HTTPS（443端口）、FTP（21端口）等。这些端口由IANA（Internet Assigned Numbers Authority）分配给特定的服务和协议。常见的服务如HTTP、FTP、SMTP等都在此范围内。

小白的信息搜集

wo41ge的博客

12-13

822

好好写一下信息收集一、主机发现 nmap 安装系统及命令: Mac os: brew install nmap Centos: yum install nmap Ubuntu: apt一get install nmap 扫描方式常见的七种扫描方式： ТСР: -sT SYN: -sS ACK: -sA UDP: -sU RPC: -sR ICMP: -sP Disable Port Scan: -sn 具体参数直接上图 Masscan 项目地址：https://github.com/robertd

内网横向下的135,445与5985端口利用

yj520400的博客

03-28

1386

技术的工具，该工具通过文件共享在远程系统中创建服务，将要运行的命令通过服务写在 bat 文件中来执行，然后将执行的结果写在文件中来读取执行命令的输出，最后将 bat 文件、输出文件和服务都删除。impacket 中的 atexec.py 脚本，就是利用定时任务获取权限，该脚本的利用需要开启 ipc$共享，通过计划任务服务来在目标主机上实现命令执行，并返回命令执行后的输出结果。，我们不但可以管理本地计算机，还可以管理统一局域网内的所有远程计算机（需要必要的权限），而被管理的计算机不必事先安装。

hackthebox-buff（gym渗透 & 端口转发& cloudme 缓冲区溢出）

冬萍子癸水

01-17

1360

1、扫描 masscan快速全局扫，nmap具体扫。7680不知道，8080是web进去搜集信息。 C:\root> masscan -p1-65535,U:1-65535 10.10.10.198 --rate=1000 -e tun0 Starting masscan 1.0.5 (http://bit.ly/14GZzcT) at 2021-01-17 09:36:41 GMT -- forced options: -sS -Pn -n --randomize-hosts -v --send

〖教程〗Winrm远程命令/WinrmCmd/端口复用后门/Windows密码爆破

K8哥哥

05-30

6943

简介 WinRM是WindowsRemoteManagementd（win远程管理）的简称。基于Web服务管理(WS-Management)标准，使用80端口或者443端口。这样一来，我们就可以在对方有设置防火墙的情况下远程管理这台服务器了。 Server2008R2及往上的系统中默认中都开启该服务，从Server2012系统后开始，该WinRM服务便被设置为默认开启。Win7系统中却默认安装此WinRM服务，但是默认为禁用状态，Win8系统和Win10系统也都默认开启WinRM服务。 PS：WIN7或20

文件包含漏洞和hash破解

山兔的博客

10-30

936

Windows是当今世界最主要的操作系统，因为它易于使用的GUI可访问性。大约85%的市场份额已成为攻击的关键操作系统。此外，大多数组织使用Active Directory来设置其Windows域网络。微软聘请NTLM（New Technology LAN Manager）和Kerberos提供认证服务。尽管存在已知漏洞，但即使在新系统上，NTLM 仍被广泛部署，以保持与传统客户端和服务器的兼容性。

从渗透到红队（二）漏洞利用

weixin_66146598的博客

01-27

1215

各大厂商的服务端或者硬件设备不可能做到每年都更新，所以之前存在的NDay漏洞，或者服务端口漏洞，都是可以尝试的。可以复现一些常见漏洞进行提高。简单整理了一些常见端口漏洞，以及WEB组件漏洞。