实战!记一次关于向日葵的渗透测试

admin
admin
admin
102855
文章
87
评论
2023年5月16日07:46:52评论299 views字数 2515阅读8分23秒阅读模式
声明:该公众号大部分文章来自作者日常学习笔记,也有部分文章是经过作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。


现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安设为星标”,否则可能看不到了


最近看了下最新版的向日葵,在一些场景下还是可以利用的,有兴趣的师傅可以自己去研究下;也可以看下我之前分享的几篇有关向日葵、Todesk的利用文章。



0x01 弱口令YYDS

在做资产梳理的时候发现了一个弱口令,是Tomcat中间件的后台管理弱口令,Tomcat的后台管理处是可以上传webshell的。
http://xxxxxxx:2903/manager/status

在这里,我们需要上传一个war包,war包这样构造,首先选择一个JSP木马,将其命名为test.jsp,然后将该文件添加到压缩文件。

注意是zip类型的压缩文件,然后我们把压缩文件重命名为test.war,然后使用冰蝎连接。
实战!记一次关于向日葵的渗透测试


随后访问网站的/manager/html/list,发现上传成功
实战!记一次关于向日葵的渗透测试


直接访问:http://xxxxxxx:2903/test2/test1.jsp
实战!记一次关于向日葵的渗透测试


0x02 getshell

使用冰蝎连接
实战!记一次关于向日葵的渗透测试

连接成功后接下来就是内网信息收集了


0x03 内网窥探

照常按例查看权限、网卡、域及进程
whoami
实战!记一次关于向日葵的渗透测试

ipconfig /all
实战!记一次关于向日葵的渗透测试

没有发现域环境
systeminfo
实战!记一次关于向日葵的渗透测试

tasklist /svc
实战!记一次关于向日葵的渗透测试


放入到杀软对比中
实战!记一次关于向日葵的渗透测试


竟然发现了远程桌面管理软件,还是俩个

0x04 另辟蹊径

在杀软比对中发现了向日葵,ToDesk远程控制软件

ToDesk 是一款多平台远程控制软件,支持主流操作系统Windows、Linux、Mac、Android、iOS跨平台协同操作。

默认安装的ToDesk的配置文件在

C:Program Files (x86)ToDeskconfig.ini

但是我在文件浏览中发现两个ToDesk配置文件
C:/Program Files/ToDesk/config.ini
实战!记一次关于向日葵的渗透测试

C:/Program Files (x86)/ToDesk/config.ini
实战!记一次关于向日葵的渗透测试


0x05 偷天换日

在ToDesk中会有一个叫临时密码的东西
实战!记一次关于向日葵的渗透测试


利用方法很简单,直接将受害机的临时密码复制出来,替换到本机的config.ini文件中,重启本机的ToDesk就可以看到明文密码了。


在上面说到我发现了两个配置文件,每个配置文件的临时密码还不一样,分别为:

tempAuthPassEx=16aec80f0bc8xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxa3eadxxx33d721daxxxxxxxxxxxxxxx2d877ef6xxxxxxxxxxb2fVersion=4.1.1tempAuthPassEx=f383dd44eaafxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxd3325cxxx40ec20cdaxxxxxxxxxxxxxxxxb1fe64axxxxxxxxx0834Version=4.6.2.3
敏感信息我都会进行模糊处理


后来发现可能是装了两个不同的版本,分别使用这两个版本的临时密码的密文进行还原明文,先看Version=4.1.1

实战!记一次关于向日葵的渗透测试

还原后发现明文为343266,那就使用该密码进行尝试

实战!记一次关于向日葵的渗透测试


第一次失败,还有一个密文进行尝试,Version=4.6.2.3

实战!记一次关于向日葵的渗透测试


替换完成后发现这次的密码比较专业一点,尝试连接
实战!记一次关于向日葵的渗透测试


第二次专业的密码也失败了,还有一次机会

0x06 我还偷

除了ToDesk远程控制软件,还有一个就是向日葵;在向日葵软件中需要获取的为两处,Fastcode:本机识别码 Encry_pwd:本机验证码

配置文件路径:
安装版:C:Program FilesOraySunLoginSunloginClientconfig.ini便携版:C:ProgramDataOraySunloginClientconfig.ini

注意高版本的向日葵配置是放在注册表中
reg query HKEY_USERS.DEFAULTSoftwareOraySunLoginSunloginClientSunloginInforeg query HKEY_USERS.DEFAULTSoftwareOraySunLoginSunloginClientSunloginGreenInfo

 C:Program FilesOraySunLoginSunloginClient并没有获取到config.ini配置文件,只是看到了许多日志文件

实战!记一次关于向日葵的渗透测试


换路径,通过摸索在 C:/ProgramData/Oray/SunloginClient/sys_config.ini发现了向日葵的配置文件

实战!记一次关于向日葵的渗透测试


使用离线工具进行解密,工具链接:

https://github.com/wafinfo/Sunflower_get_Password

python SunDecrypt.py 根据提示输入encry_pwd
实战!记一次关于向日葵的渗透测试


使用设备识别码:6xxxxxxx5 和 解密出来的密码:123456 进行连接
实战!记一次关于向日葵的渗透测试


第三次成功连接远程桌面

0x07 总结

对于内网的一些信息收集又多了一些选择,往往最简单最朴素的方法是为最致命的。

文章来源:先知社区(上*∮)原文地址:https://xz.aliyun.com/t/12516


关 注 有 礼



关注公众号回复“9527”可以领取一套HTB靶场文档和视频1208”个人常用高效爆破字典0221”2020年酒仙桥文章打包2191潇湘信安文章打包,“1212”杀软对比源码+数据源,0421Windows提权工具包
实战!记一次关于向日葵的渗透测试 还在等什么?赶紧点击下方名片关注学习吧!实战!记一次关于向日葵的渗透测试

推 荐 阅 读




实战!记一次关于向日葵的渗透测试
实战!记一次关于向日葵的渗透测试
实战!记一次关于向日葵的渗透测试

实战!记一次关于向日葵的渗透测试

原文始发于微信公众号(潇湘信安):实战!记一次关于向日葵的渗透测试

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年5月16日07:46:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战!记一次关于向日葵的渗透测试http://cn-sec.com/archives/1733621.html

发表评论

匿名网友 填写信息