【实战技巧】利用rustdesk绕过杀软

admin 2022年11月10日20:45:12安全文章评论51 views2439字阅读8分7秒阅读模式
✎ 阅读须知


Clans安全团队的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。

Clans安全团队拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!

本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!


更新时间:2022.09.24

参考资料

https://xz.aliyun.com/t/11557

1. 介绍

http://rustdesk.com/zh/

RustDesk是一款开源远程桌面软件,优点是普通权限即可运行,而且支持纯内网环境,可以讲就是一个远控。

【实战技巧】利用rustdesk绕过杀软

2. rustdesk优缺点

rustdesk的优点是普通权限即可运行,而且支持纯内网环境。

RuskDesk控制端和被控制端是同一个应用。


根据师傅踩坑来看,有两个比较大的坑:

  • • 要下载RustDesk的portable版本,不要下载puts版本。portable版本免安装,puts版本会弹框提示安装,portable免安装版本下载地址:https://gitee.com/rustdesk/rustdesk/releases


  • • 第一次在目标上运行RustDesk,RustDesk不会立即将密码保存到配置文件,而此时你把鼠标放在显示密码时则会保存到文件,遇到这种情况我们只需运行RustDesk,生成配置文件后结束RustDesk进程,然后修改配置文件里password为指定密码,再运行RustDesk即可。

参考:https://xz.aliyun.com/t/11557

【实战技巧】利用rustdesk绕过杀软

3. rustdesk使用

3.1 环境准备

靶机:Windows10 + Windows defender

配置phpstudy环境,webshell权限为管理员用户权限

攻击机:win7 + mac 

其中win7用于连接,mac用于webshell连接

在使用rustdesk之前,先获取webshell权限,当前使用哥斯拉连接php的免杀shell,在这里没有使用蚁剑的原因是Windows defender在蚁剑执行命令的时候报毒。

【实战技巧】利用rustdesk绕过杀软

此时权限为管理员用户权限:

【实战技巧】利用rustdesk绕过杀软

3.2 rustdesk利用

将rustdesk上传到靶机上,在这里需要使用大文件上传,否则会上传失败:

【实战技巧】利用rustdesk绕过杀软
【实战技巧】利用rustdesk绕过杀软

在当前位置执行命令来启动该软件:

【实战技巧】利用rustdesk绕过杀软

执行之后,在靶机会弹出弹窗:

【实战技巧】利用rustdesk绕过杀软

此时如果直接去找配置文件RustDesk.toml,会发现当前只有账户名,但是没有密码:

配置文件地址:C:Users用户名AppDataRoamingRustDeskconfig

我这边的配置文件位置:C:UsersadminAppDataRoamingRustDeskconfig
【实战技巧】利用rustdesk绕过杀软

所以在这里需要杀掉当前rustdesk的进程,给上述RustDesk.toml文件增加一个密码,再重启rustdesk即可:

【实战技巧】利用rustdesk绕过杀软

杀掉进程之后,桌面的弹窗会退出,此时去设置密码,并保存,再启动rustdesk:

【实战技巧】利用rustdesk绕过杀软

再次运行rustdesk之后,桌面依旧会弹窗,这时候直接去连接试试:

【实战技巧】利用rustdesk绕过杀软

此时在win7上测试连接:

【实战技巧】利用rustdesk绕过杀软

此时被控成功。

4. rustdesk自建ip

在内网里面,如果不出网等,只有webshell权限,在这个时候就需要这个功能了。

【实战技巧】利用rustdesk绕过杀软

4.1 本地修改

在win7本地修改RustDesk2.toml文件:

【实战技巧】利用rustdesk绕过杀软
【实战技巧】利用rustdesk绕过杀软

options下增加一句话:

direct-server = 'Y'

保存该文件,并且重启本地的rustdesk:

【实战技巧】利用rustdesk绕过杀软

此时就可以允许ip直接访问了,在这里还可以自定义被访问时候的端口:

【实战技巧】利用rustdesk绕过杀软

RustDesk的实现IP直接访问功能监听的默认端口是21118,此时在本地可以通过鼠标修改为其他端口:

【实战技巧】利用rustdesk绕过杀软

如果在靶机上,是不可能通过这种方式来修改的,所以还需要去看下配置文件:

【实战技巧】利用rustdesk绕过杀软

在我们修改默认端口之后,在这里会多出来一行:

direct-access-port = '8080'

4.2 靶机修改

同样,这种方法可以适配到靶机上,同样的步骤,先关掉rustdesk的进程,然后修改配置文件,再启动rustdesk

【实战技巧】利用rustdesk绕过杀软

将下面的信息写上去,端口自定义:

direct-server = 'Y'
direct-access-port = '8080'
【实战技巧】利用rustdesk绕过杀软

此时再启动rustdesk,用win7来连接下:

【实战技巧】利用rustdesk绕过杀软

再输入密码即可:

【实战技巧】利用rustdesk绕过杀软

5. rustdesk其它方式

rustdesk连接使用的是官方提供的免费带宽进行使用的,如果有需要的话,可以自建服务器:

https://rustdesk.com/zh/server/

也可以参考这个:

https://www.hash070.top/archives/rustdesk-docker.html

当然,也可以使用它的web端:

http://web.rustdesk.com/#/

rustdesk还提供自建服务器和web端的应用,但是web端访问的话,非常的卡:

【实战技巧】利用rustdesk绕过杀软

我是没进去。。。

6. 免杀测试

其实这种软件在bypass杀软上,国内版只需要注意Windows defender即可,火绒和360可以用其他的方法来搞,不要太强求一招吃遍天下鲜。

在国际上,主要对付的就是卡巴斯基。。。

6.1 Windows defender

可以直接运行,不查杀,可远程上去关闭杀软:

【实战技巧】利用rustdesk绕过杀软

6.2 卡巴斯基

上面的环境不变,在这里装一个卡巴来实测下:

【实战技巧】利用rustdesk绕过杀软

上传rustdesk:

【实战技巧】利用rustdesk绕过杀软

判断当前没有用户在线之后,直接运行,然后再去修改文件:

【实战技巧】利用rustdesk绕过杀软
C:/Users/Std/AppData/Roaming/RustDesk/config/
【实战技巧】利用rustdesk绕过杀软

【实战技巧】利用rustdesk绕过杀软

【实战技巧】利用rustdesk绕过杀软

id = '4******338'
password = '[email protected]'
salt = '8ye****'

可以连接,但是有错误:

【实战技巧】利用rustdesk绕过杀软

最可能的问题是由于是服务器,没有显示器:

【实战技巧】利用rustdesk绕过杀软
正常情况下是可以连接的。

【实战技巧】利用rustdesk绕过杀软

原文始发于微信公众号(哈拉少安全小队):【实战技巧】利用rustdesk绕过杀软

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月10日20:45:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【实战技巧】利用rustdesk绕过杀软 http://cn-sec.com/archives/1402796.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: