|
前言 在內(nèi)網(wǎng)滲透過(guò)程中,會(huì)碰到遠(yuǎn)程控制soft或者其他�,這里針對(duì)遠(yuǎn)程控制軟件做如下總結(jié)。遠(yuǎn)程控制軟件 向日葵篇 向日葵查看版本 向日葵(可以攻擊) 針對(duì)向日葵的話其實(shí)如果有本地安裝的話�����,是... 前言在內(nèi)網(wǎng)滲透過(guò)程中�,會(huì)碰到遠(yuǎn)程控制soft或者其他,這里針對(duì)遠(yuǎn)程控制軟件做如下總結(jié)���。 遠(yuǎn)程控制軟件向日葵篇向日葵查看版本向日葵(可以攻擊)針對(duì)向日葵的話其實(shí)如果有本地安裝的話���,是有可能存在漏洞的。這里進(jìn)行復(fù)現(xiàn) 向日葵個(gè)人版for Windows <= 11.0.0.33
向日葵簡(jiǎn)約版 <= V1.0.1.43315(2021.12)
測(cè)試客戶端漏洞版本:11.0.0.33162
攻擊過(guò)程: (1)tasklist 查看是否有sunlogin的進(jìn)程
(2)直接用golang的工具來(lái)進(jìn)行攻擊即可
https://github.com/Mr-xn/sunlogin\_rce 向日葵(不可以攻擊)遇到不可以攻擊的向日葵��,我們也有幾種滲透手法: (1)竊取配置文件來(lái)進(jìn)行解密(低版本 版本號(hào)具體未知)低版本的向日葵把密碼和機(jī)器碼加密寫入到了配置文件中�,我們可以把配置文件down到自己的機(jī)器上,然后進(jìn)行重開(kāi)向日葵即可�。這里向日葵版本較低,就不進(jìn)行測(cè)試 (2)在12.5.2之前的某些版本可以寫到了注冊(cè)表中��,所以可以使用注冊(cè)表來(lái)進(jìn)行查詢reg query HKEY\\\_USERS\\\\.DEFAULT\\\\Software\\\\Oray\\\\SunLogin\\\\SunloginClient\\\\SunloginInfo
reg query HKEY\\\_USERS\\\\.DEFAULT\\\\Software\\\\Oray\\\\SunLogin\\\\SunloginClient\\\\SunloginGreenInfo
向日葵默認(rèn)配置文件路徑:
安裝版:C:\\\\Program Files\\\\Oray\\\\SunLogin\\\\SunloginClient\\\\config.ini
便攜版:C:\\\\ProgramData\\\\Oray\\\\SunloginClient\\\\config.ini
本機(jī)驗(yàn)證碼參數(shù):encry\\\_pwd
本機(jī)識(shí)別碼參數(shù):fastcode(去掉開(kāi)頭字母)
sunlogincode:判斷用戶是否登錄狀態(tài)
在向日葵高于 12.5.3.* 的機(jī)器中已經(jīng)沒(méi)有辦法獲取secert了 
todesk篇常見(jiàn)滲透方式(偷配置��,百試百靈)這里還是和前面的向日葵一樣����,可以進(jìn)行配置文件的竊取,這里的默認(rèn)安裝路徑(C:\Program Files\ToDesk\config.ini) 
這里咱們可以攻擊機(jī)安裝todesk��,然后讀取到config.ini中的配置文件�����,然后和攻擊機(jī)進(jìn)行替換即可����。這里我虛擬機(jī)假裝是受害機(jī),讀取出來(lái)����,然后攻擊機(jī)把tempauthpassex進(jìn)行替換。
本機(jī)下載todesk進(jìn)行替換����。
兩個(gè)機(jī)器密碼相同(進(jìn)行替換的時(shí)候需要修改攻擊機(jī)密碼更新頻率)
anydeskanydesk的配置文件在 C:\\Users\\用戶名\\AppData\\Roaming\\AnyDesk 文件中
而通常這個(gè)時(shí)候我們有權(quán)限修改anydesk的配置文件�����,這里進(jìn)行測(cè)試����,起兩個(gè)虛擬機(jī)�����,設(shè)定一個(gè)場(chǎng)景(攻擊機(jī)拿到了webshell���,受害機(jī)開(kāi)著windows defender����,如何去滲透拿到受害機(jī)權(quán)限) 攻擊機(jī) ip: 10.211.55.3 + 10.211.55.2
受害機(jī) ip: 10.211.55.4(windows defender全開(kāi))
情景復(fù)現(xiàn)這里拿到了受害機(jī)的webshell�,是個(gè)普通權(quán)限,無(wú)法去關(guān)閉 
這里可以看到有windows defender來(lái)運(yùn)行���,這里無(wú)法進(jìn)行關(guān)閉windows defender
這里用powershell來(lái)執(zhí)行遠(yuǎn)程命令下載anydesk到用戶的目錄中去,因?yàn)樘摂M機(jī)只有C盤�����,所以我創(chuàng)建了一個(gè)目錄來(lái)進(jìn)行存放�����,在真實(shí)的滲透過(guò)程中��,一般是有RWE的目錄
這里用powershell來(lái)執(zhí)行遠(yuǎn)程命令下載anydesk到用戶的目錄中去,因?yàn)樘摂M機(jī)只有C盤����,所以我創(chuàng)建了一個(gè)目錄來(lái)進(jìn)行存放��,**在真實(shí)的滲透過(guò)程中��,一般是有RWE的目錄**
上傳上去之后���,先不去打開(kāi)�。轉(zhuǎn)到攻擊機(jī)進(jìn)行操作 (1)這里先去給攻擊機(jī)下載anydesk(如果下載過(guò)的小伙伴��,要先清除) C:\Users\用戶名\AppData\Roaming\AnyDesk中的配置�,沒(méi)有的就不用看這一步,清除結(jié)束后如下 
(2)這里打開(kāi)攻擊機(jī)的anydesk�,牢記我此處勾選的id,然后點(diǎn)擊右上角的概述-->為自主訪問(wèn)設(shè)置密碼-->設(shè)置一個(gè)密碼(這里設(shè)置為Q16G666!!)--->之后點(diǎn)擊應(yīng)用��,攻擊機(jī)完全退出anydesk(小托盤也要退出),并且退出時(shí)不選擇安裝anydesk 
(3)攻擊機(jī)完全退出anydesk(小托盤也要退出)�����,這里還是到配置文件下 C:\Users\用戶名\AppData\Roaming\AnyDesk����,然后把文件復(fù)制下來(lái)。是我圖中勾選的這四個(gè)���。復(fù)制完成之后��,攻擊機(jī)將文件進(jìn)行刪除�。
復(fù)制下來(lái)之后�����,給受害機(jī)的當(dāng)前用戶(拿到權(quán)限的用戶)找到anydesk配置文件路徑并且復(fù)制到其他(如果沒(méi)有配置文件路徑則進(jìn)行創(chuàng)建配置文件路徑)���,一定要注意這里攻擊機(jī)復(fù)制完之后��,一定要將攻擊機(jī)中的配置文件進(jìn)行刪除
(4)重新打開(kāi)攻擊機(jī)����,生成配置文件,啟動(dòng)受害機(jī)的anydesk�。
(5)用攻擊機(jī)進(jìn)行連接,這里連接的id就是(2)中截圖的id�����,密碼就是(2)中設(shè)置的密碼即可成功無(wú)感繞過(guò)windows defender 情景復(fù)現(xiàn)2 (計(jì)劃任務(wù))(1)確定用戶創(chuàng)建計(jì)劃任務(wù)如果命令行不能去執(zhí)行���,則可以去創(chuàng)建計(jì)劃任務(wù)去執(zhí)行,例如�,必須先確定當(dāng)前用戶,在當(dāng)前用戶的目錄下執(zhí)行anydesk�����, powershell '(((Get-WmiObject -Class Win32\_Process -Filter 'Name=\\'explorer.exe\\'').GetOwner().user) -split '\\n')\[0\]
schtasks /Create /TN Windows\_Security\_Update /SC monthly /tr 'C:\\Users\\testuser.G1TS\\Desktop\\anydesk.exe' /RU 用戶名
執(zhí)行計(jì)劃任務(wù)
schtasks /run /tn Windows\_Security\_Update
后續(xù)步驟和上面相同
然后添加密碼到配置文件中去即可�。 echo ad.anynet.pwd_hash=85352d14ed8d515103f6af88dd68db7573a37ae0f9c9d2952c3a63a8220a501c >> C:\Users\用戶目錄\AppData\Roaming\AnyDesk\service.conf
echo ad.anynet.pwd_salt=cb65156829a1d5a7281bfe8f6c98734a >> C:\Users\用戶目錄\AppData\Roaming\AnyDesk\service.conf
然后查看用戶的id type C:\Users\用戶名\AppData\Roaming\AnyDesk\system.conf
連接即可 優(yōu)點(diǎn):整個(gè)過(guò)程都不需要進(jìn)行UAC彈窗,真正實(shí)現(xiàn)了無(wú)感繞過(guò) 缺點(diǎn):(1)會(huì)彈出anydesk的界面����,導(dǎo)致一些問(wèn)題 (2)啟動(dòng)anydesk的權(quán)限需要桌面用戶權(quán)限,比如��,IIS做了中間件環(huán)境��,拿到的webshell一般都是沒(méi)有桌面用戶權(quán)限,如果啟動(dòng)anydesk是不會(huì)成功的�。 gotohttpgotohttp在我的滲透測(cè)試過(guò)程中,是一個(gè)常見(jiàn)的方式���,給我的感覺(jué)�,即用即連���,瀏覽器連接�����,方便快捷�����。但是缺點(diǎn)就是權(quán)限劃分明確����,普通用戶權(quán)限起的gotohttp無(wú)法進(jìn)行管理員權(quán)限操作��,比如關(guān)閉windows defender和其他一些行為�����,不過(guò)在規(guī)避殺軟這兒也有奇效。 復(fù)現(xiàn)過(guò)程普通用戶上去之后只能用普通用戶權(quán)限(這里下載對(duì)應(yīng)的gotohttp https:///)���,上傳上去���,命令行運(yùn)行他,直接在當(dāng)前目錄下生成配置文件�,讀取配置文件,即可成功連接
因?yàn)槭瞧胀ㄓ脩魡?dòng)的���,這里如果嘗試關(guān)閉windows defender�,是無(wú)法進(jìn)行點(diǎn)擊的�����。
參考https://blog.csdn.net/weixin_44216796/article/details/112118108
文章來(lái)源:原文鏈接:https://forum./share/2310
黑白之道發(fā)布�����、轉(zhuǎn)載的文章中所涉及的技術(shù)����、思路和工具僅供以安全為目的的學(xué)習(xí)交流使用�,任何人不得將其用于非法用途及盈利等目的��,否則后果自行承擔(dān)��! 如侵權(quán)請(qǐng)私聊我們刪文
|
