前言 在內(nèi)網(wǎng)滲透過程中，會碰到遠(yuǎn)程控制soft或者其他，這里針對遠(yuǎn)程控制軟件做如下總結(jié)。遠(yuǎn)程控制軟件 向日葵篇 向日葵查看版本 向日葵（可以攻擊） 針對向日葵的話其實(shí)如果有本地安裝的話，是...

前言

在內(nèi)網(wǎng)滲透過程中，會碰到遠(yuǎn)程控制soft或者其他，這里針對遠(yuǎn)程控制軟件做如下總結(jié)。

遠(yuǎn)程控制軟件

向日葵篇

向日葵查看版本

向日葵（可以攻擊）

針對向日葵的話其實(shí)如果有本地安裝的話，是有可能存在漏洞的。這里進(jìn)行復(fù)現(xiàn)

攻擊過程：

（1）tasklist 查看是否有sunlogin的進(jìn)程
（2）直接用golang的工具來進(jìn)行攻擊即可

https://github.com/Mr-xn/sunlogin\_rce

向日葵（不可以攻擊）

遇到不可以攻擊的向日葵，我們也有幾種滲透手法：

（1）竊取配置文件來進(jìn)行解密（低版本 版本號具體未知）

低版本的向日葵把密碼和機(jī)器碼加密寫入到了配置文件中，我們可以把配置文件down到自己的機(jī)器上，然后進(jìn)行重開向日葵即可。這里向日葵版本較低，就不進(jìn)行測試

（2）在12.5.2之前的某些版本可以寫到了注冊表中，所以可以使用注冊表來進(jìn)行查詢

reg query HKEY\\\_USERS\\\\.DEFAULT\\\\Software\\\\Oray\\\\SunLogin\\\\SunloginClient\\\\SunloginInfo    
reg query HKEY\\\_USERS\\\\.DEFAULT\\\\Software\\\\Oray\\\\SunLogin\\\\SunloginClient\\\\SunloginGreenInfo  

向日葵默認(rèn)配置文件路徑:    
安裝版：C:\\\\Program Files\\\\Oray\\\\SunLogin\\\\SunloginClient\\\\config.ini    
便攜版：C:\\\\ProgramData\\\\Oray\\\\SunloginClient\\\\config.ini    
本機(jī)驗(yàn)證碼參數(shù)：encry\\\_pwd    
本機(jī)識別碼參數(shù)：fastcode(去掉開頭字母)    
sunlogincode：判斷用戶是否登錄狀態(tài)

在向日葵高于 12.5.3.* 的機(jī)器中已經(jīng)沒有辦法獲取secert了

todesk篇

常見滲透方式（偷配置，百試百靈）

這里還是和前面的向日葵一樣，可以進(jìn)行配置文件的竊取，這里的默認(rèn)安裝路徑（C:\Program Files\ToDesk\config.ini）

這里咱們可以攻擊機(jī)安裝todesk，然后讀取到config.ini中的配置文件，然后和攻擊機(jī)進(jìn)行替換即可。這里我虛擬機(jī)假裝是受害機(jī)，讀取出來，然后攻擊機(jī)把tempauthpassex進(jìn)行替換。

本機(jī)下載todesk進(jìn)行替換。

兩個機(jī)器密碼相同（進(jìn)行替換的時候需要修改攻擊機(jī)密碼更新頻率）

anydesk

而通常這個時候我們有權(quán)限修改anydesk的配置文件，這里進(jìn)行測試，起兩個虛擬機(jī)，設(shè)定一個場景（攻擊機(jī)拿到了webshell，受害機(jī)開著windows defender，如何去滲透拿到受害機(jī)權(quán)限）

攻擊機(jī) ip: 10.211.55.3 + 10.211.55.2
受害機(jī) ip: 10.211.55.4（windows defender全開）

情景復(fù)現(xiàn)

這里拿到了受害機(jī)的webshell，是個普通權(quán)限，無法去關(guān)閉

這里可以看到有windows defender來運(yùn)行，這里無法進(jìn)行關(guān)閉windows defender

這里用powershell來執(zhí)行遠(yuǎn)程命令下載anydesk到用戶的目錄中去,因?yàn)樘摂M機(jī)只有C盤，所以我創(chuàng)建了一個目錄來進(jìn)行存放，在真實(shí)的滲透過程中，一般是有RWE的目錄

上傳上去之后，先不去打開。轉(zhuǎn)到攻擊機(jī)進(jìn)行操作

（1）這里先去給攻擊機(jī)下載anydesk（如果下載過的小伙伴，要先清除） C:\Users\用戶名\AppData\Roaming\AnyDesk中的配置，沒有的就不用看這一步，清除結(jié)束后如下

（2）這里打開攻擊機(jī)的anydesk，牢記我此處勾選的id，然后點(diǎn)擊右上角的概述-->為自主訪問設(shè)置密碼-->設(shè)置一個密碼（這里設(shè)置為Q16G666!!）--->之后點(diǎn)擊應(yīng)用，攻擊機(jī)完全退出anydesk（小托盤也要退出），并且退出時不選擇安裝anydesk

（3）攻擊機(jī)完全退出anydesk（小托盤也要退出），這里還是到配置文件下 C:\Users\用戶名\AppData\Roaming\AnyDesk，然后把文件復(fù)制下來。是我圖中勾選的這四個。復(fù)制完成之后，攻擊機(jī)將文件進(jìn)行刪除。

復(fù)制下來之后，給受害機(jī)的當(dāng)前用戶（拿到權(quán)限的用戶）找到anydesk配置文件路徑并且復(fù)制到其他（如果沒有配置文件路徑則進(jìn)行創(chuàng)建配置文件路徑），一定要注意這里攻擊機(jī)復(fù)制完之后，一定要將攻擊機(jī)中的配置文件進(jìn)行刪除

（4）重新打開攻擊機(jī)，生成配置文件，啟動受害機(jī)的anydesk。

（5）用攻擊機(jī)進(jìn)行連接，這里連接的id就是（2）中截圖的id，密碼就是（2）中設(shè)置的密碼即可成功無感繞過windows defender

情景復(fù)現(xiàn)2 （計劃任務(wù)）

（1）確定用戶創(chuàng)建計劃任務(wù)

如果命令行不能去執(zhí)行，則可以去創(chuàng)建計劃任務(wù)去執(zhí)行，例如，必須先確定當(dāng)前用戶，在當(dāng)前用戶的目錄下執(zhí)行anydesk，

powershell '(((Get-WmiObject -Class Win32\_Process -Filter 'Name=\\'explorer.exe\\'').GetOwner().user) -split '\\n')\[0\]



schtasks /Create /TN Windows\_Security\_Update /SC monthly /tr 'C:\\Users\\testuser.G1TS\\Desktop\\anydesk.exe' /RU 用戶名



執(zhí)行計劃任務(wù)

schtasks /run /tn Windows\_Security\_Update



后續(xù)步驟和上面相同

然后添加密碼到配置文件中去即可。

然后查看用戶的id

type C:\Users\用戶名\AppData\Roaming\AnyDesk\system.conf

連接即可

優(yōu)點(diǎn)：

整個過程都不需要進(jìn)行UAC彈窗，真正實(shí)現(xiàn)了無感繞過

缺點(diǎn)：

（1）會彈出anydesk的界面，導(dǎo)致一些問題

（2）啟動anydesk的權(quán)限需要桌面用戶權(quán)限，比如，IIS做了中間件環(huán)境，拿到的webshell一般都是沒有桌面用戶權(quán)限，如果啟動anydesk是不會成功的。

gotohttp

gotohttp在我的滲透測試過程中，是一個常見的方式，給我的感覺，即用即連，瀏覽器連接，方便快捷。但是缺點(diǎn)就是權(quán)限劃分明確，普通用戶權(quán)限起的gotohttp無法進(jìn)行管理員權(quán)限操作，比如關(guān)閉windows defender和其他一些行為，不過在規(guī)避殺軟這兒也有奇效。

復(fù)現(xiàn)過程

普通用戶上去之后只能用普通用戶權(quán)限（這里下載對應(yīng)的gotohttp https:///），上傳上去，命令行運(yùn)行他，直接在當(dāng)前目錄下生成配置文件，讀取配置文件，即可成功連接

因?yàn)槭瞧胀ㄓ脩魡拥?，這里如果嘗試關(guān)閉windows defender，是無法進(jìn)行點(diǎn)擊的。

參考

https://blog.csdn.net/weixin_44216796/article/details/112118108

如侵權(quán)請私聊我們刪文