现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
最近看了下最新版的向日葵,在一些场景下还是可以利用的,有兴趣的师傅可以自己去研究下;也可以看下我之前分享的几篇有关向日葵、Todesk的利用文章。
0x01 弱口令YYDS
http://xxxxxxx:2903/manager/status0x02 getshell
连接成功后接下来就是内网信息收集了
0x03 内网窥探
whoamiipconfig /allsysteminfotasklist /svc0x04 另辟蹊径
ToDesk 是一款多平台远程控制软件,支持主流操作系统Windows、Linux、Mac、Android、iOS跨平台协同操作。
默认安装的ToDesk的配置文件在
C:\Program Files (x86)\ToDesk\config.iniC:/Program Files/ToDesk/config.iniC:/Program Files (x86)/ToDesk/config.ini0x05 偷天换日
利用方法很简单,直接将受害机的临时密码复制出来,替换到本机的config.ini文件中,重启本机的ToDesk就可以看到明文密码了。
在上面说到我发现了两个配置文件,每个配置文件的临时密码还不一样,分别为:
tempAuthPassEx=16aec80f0bc8xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxa3eadxxx33d721daxxxxxxxxxxxxxxx2d877ef6xxxxxxxxxxb2fVersion=4.1.1tempAuthPassEx=f383dd44eaafxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxd3325cxxx40ec20cdaxxxxxxxxxxxxxxxxb1fe64axxxxxxxxx0834Version=4.6.2.3敏感信息我都会进行模糊处理
后来发现可能是装了两个不同的版本,分别使用这两个版本的临时密码的密文进行还原明文,先看Version=4.1.1
还原后发现明文为343266,那就使用该密码进行尝试
第一次失败,还有一个密文进行尝试,Version=4.6.2.3
0x06 我还偷
安装版:C:\Program Files\Oray\SunLogin\SunloginClient\config.ini便携版:C:\ProgramData\Oray\SunloginClient\config.ini
reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginInforeg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginGreenInfo
在 C:\Program Files\Oray\SunLogin\SunloginClient\并没有获取到config.ini配置文件,只是看到了许多日志文件
换路径,通过摸索在 C:/ProgramData/Oray/SunloginClient/sys_config.ini发现了向日葵的配置文件
使用离线工具进行解密,工具链接:
https://github.com/wafinfo/Sunflower_get_Password
python SunDecrypt.py 根据提示输入encry_pwd0x07 总结
文章来源:先知社区(上*∮)原文地址:https://xz.aliyun.com/t/12516
关 注 有 礼
推 荐 阅 读
文章来源: http://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247503547&idx=1&sn=37875e8a9b61a203fac2978e4359d376&chksm=cfa56aa8f8d2e3bec4ee491b6735ba5d62752f8d918251a5afb15ca7f85449d3e7e44bd94b98#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh