记一次关于向日葵的渗透测试

admin
admin
admin
101063
文章
87
评论
2023年5月12日17:22:09评论87 views字数 2208阅读7分21秒阅读模式

扫码领资料

获网安教程

免费&进群

记一次关于向日葵的渗透测试
记一次关于向日葵的渗透测试


0x01-弱口令YYDS

在做资产梳理的时候发现了一个弱口令
http://xxxxxxx:2903/manager/status
是Tomcat中间件的后台管理弱口令
Tomcat的后台管理处是可以上传webshell的
在这里,我们需要上传一个war包,war包这样构造,首先选择一个JSP木马,将其命名为test.jsp,然后
将该文件添加到压缩文件,注意是zip类型的压缩文件,然后我们把压缩文件重命名为test.war,然后使用
冰蝎连接。

记一次关于向日葵的渗透测试

随后访问网站的/manager/html/list,发现上传成功

记一次关于向日葵的渗透测试

直接访问:http://xxxxxxx:2903/test2/test1.jsp

记一次关于向日葵的渗透测试

0x02-getshell

使用冰蝎连接

记一次关于向日葵的渗透测试

连接成功后接下来就是内网信息收集了

0x03-内网窥探

照常按例查看权限、网卡、域及进程
whoami

记一次关于向日葵的渗透测试

ipconfig /all

记一次关于向日葵的渗透测试

systeminfo
没有发现域环境

记一次关于向日葵的渗透测试

tasklist /svc

记一次关于向日葵的渗透测试

放入到杀软对比中

记一次关于向日葵的渗透测试

竟然发现了远程桌面管理软件,还是俩个

0x04-另辟蹊径

在杀软比对中发现了向日葵,ToDesk远程控制软件

ToDesk 是一款多平台远程控制软件,支持主流操作系统Windows、Linux、Mac、Android、iOS跨平台协同操作。

默认安装的ToDesk的配置文件在

C:Program Files (x86)ToDeskconfig.ini

但是我在文件浏览中发现两个ToDesk配置文件

C:/Program Files/ToDesk/config.ini

记一次关于向日葵的渗透测试

C:/Program Files (x86)/ToDesk/config.ini

记一次关于向日葵的渗透测试

0x05-偷天换日

在ToDesk中会有一个叫临时密码的东西

记一次关于向日葵的渗透测试


利用方法很简单,直接将受害机的临时密码复制出来,替换到本机的config.ini文件中,重启本机的
ToDesk就可以看到明文密码了
在上面说到我发现了两个配置文件,每个配置文件的临时密码还不一样
分别为:


tempAuthPassEx=16aec80f0bc8xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxa3eadxxx33
d721daxxxxxxxxxxxxxxx2d877ef6xxxxxxxxxxb2f
Version=4.1.1
tempAuthPassEx=f383dd44eaafxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxd3325cxxx40e
c20cdaxxxxxxxxxxxxxxxxb1fe64axxxxxxxxx0834
Version=4.6.2.3

敏感信息我都会进行模糊处理

后来发现可能是装了两个不同的版本
分别使用这两个版本的临时密码的密文进行还原明文
先看Version=4.1.1

记一次关于向日葵的渗透测试


记一次关于向日葵的渗透测试


第一次失败,还有一个密文进行尝试

记一次关于向日葵的渗透测试


记一次关于向日葵的渗透测试

第二次专业的密码也失败了
还有一次机会


0x06-我还偷

除了ToDesk远程控制软件,还有一个就是向日葵
在向日葵软件中需要获取的为两处,Fastcode:本机识别码 Encry_pwd:本机验证码
配置文件路径:
安装版:

C:Program FilesOraySunLoginSunloginClientconfig.ini

便携版

C:ProgramDataOraySunloginClientconfig.ini

注意高版本的向日葵配置是放在注册表中

reg query HKEY_USERS.DEFAULTSoftwareOraySunLoginSunloginClientSunloginInfo
reg query
HKEY_USERS.DEFAULTSoftwareOraySunLoginSunloginClientSunloginGreenInfo

在 C:Program FilesOraySunLoginSunloginClient并没有获取到config.ini配置文件,只是看
到了许多日志文件

记一次关于向日葵的渗透测试


换路径,通过摸索在 C:/ProgramData/Oray/SunloginClient/sys_config.ini发现了向日葵的配置
文件

记一次关于向日葵的渗透测试


使用离线工具进行解密
工具链接:https://github.com/wafinfo/Sunflower_get_Password

python SunDecrypt.py 根据提示输入encry_pwd

记一次关于向日葵的渗透测试


使用设备识别码:6xxxxxxx5 和 解密出来的密码:123456 进行连接

记一次关于向日葵的渗透测试


第三次成功连接远程桌面


总结

对于内网的一些信息收集又多了一些选择,往往最简单最朴素的方法是为最致命的。


来源:https://xz.aliyun.com/t/12516

声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权


@

学习更多渗透技能!体验靶场实战练习


记一次关于向日葵的渗透测试
hack视频资料及工具
记一次关于向日葵的渗透测试

(部分展示)



往期推荐

【精选】SRC快速入门+上分小秘籍+实战指南

爬取免费代理,拥有自己的代理池

漏洞挖掘|密码找回中的套路

渗透测试岗位面试题(重点:渗透思路)

漏洞挖掘 | 通用型漏洞挖掘思路技巧

干货|列了几种均能过安全狗的方法!

一名大学生的黑客成长史到入狱的自述

攻防演练|红队手段之将蓝队逼到关站!

巧用FOFA挖到你的第一个漏洞

看到这里了,点个“赞”、“再看”吧



原文始发于微信公众号(白帽子左一):记一次关于向日葵的渗透测试

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月12日17:22:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次关于向日葵的渗透测试https://cn-sec.com/archives/1730172.html

发表评论

匿名网友 填写信息