<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Evil-WinRM on Ethical Hacking | Pentest e Sicurezza Informatica | Hackita</title><link>https://hackita.it/tags/evil-winrm/</link><description>Recent content in Evil-WinRM on Ethical Hacking | Pentest e Sicurezza Informatica | Hackita</description><generator>Hugo</generator><language>it</language><lastBuildDate>Wed, 15 Apr 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://hackita.it/tags/evil-winrm/index.xml" rel="self" type="application/rss+xml"/><item><title>Porta 5986 WinRM HTTPS: Certificati, ADCS e Evil-WinRM</title><link>https://hackita.it/articoli/porta-5986-winrm-https/</link><pubDate>Wed, 15 Apr 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/porta-5986-winrm-https/</guid><description>&lt;p&gt;La port 5986 TCP è la versione TLS/HTTPS di &lt;a href="https://hackita.it/articoli/porta-5985-winrm"&gt;WinRM sulla porta 5985&lt;/a&gt;. Tutto ciò che funziona sulla 5985 — Evil-WinRM, CrackMapExec, Pass-the-Hash, PowerShell Remoting — funziona identicamente sulla 5986, con il traffico cifrato da TLS. La differenza operativa nel penetration testing riguarda l&amp;rsquo;&lt;strong&gt;autenticazione basata su certificato&lt;/strong&gt;: WinRM HTTPS supporta client certificate authentication, e quando è configurata, non servono password o hash — basta un certificato valido. Questo apre un vettore di attacco specifico: l&amp;rsquo;abuso di Active Directory Certificate Services (ADCS) per ottenere un certificato che garantisce accesso WinRM come qualsiasi utente del dominio.&lt;/p&gt;</description></item><item><title>Porta 5985 WinRM: Evil-WinRM, Pass-the-Hash e PowerShell Remoting</title><link>https://hackita.it/articoli/porta-5985-winrm/</link><pubDate>Wed, 11 Mar 2026 00:00:00 +0000</pubDate><guid>https://hackita.it/articoli/porta-5985-winrm/</guid><description>&lt;p&gt;WinRM (Windows Remote Management) è l&amp;rsquo;implementazione Microsoft del protocollo WS-Management per l&amp;rsquo;amministrazione remota. Ascolta sulla porta 5985 TCP (HTTP) e sulla &lt;a href="https://hackita.it/articoli/porta-5986-winrm-https"&gt;porta 5986&lt;/a&gt; (HTTPS). Nel penetration testing di ambienti Active Directory, WinRM è spesso &lt;strong&gt;la porta più importante dopo SMB&lt;/strong&gt;: permette l&amp;rsquo;esecuzione remota di comandi PowerShell, supporta Pass-the-Hash per autenticazione senza password in chiaro e, a differenza di &lt;a href="https://hackita.it/articoli/porta-3389-rdp"&gt;RDP&lt;/a&gt;, è una shell non interattiva che non disturba l&amp;rsquo;utente connesso al desktop — perfetta per operazioni stealth. Evil-WinRM, lo strumento più usato per accedere a WinRM, è diventato uno standard de facto nella metodologia OSCP e nei red team engagement.&lt;/p&gt;</description></item></channel></rss>