渗透测试过程中当我们通过外网打点拿下边界服务器以后,进一步内网渗透,此时如果发现目标机器上安装了远程控制软件,如 ToDesk,那我们是不是可以想办法尝试获取到软件的连接账号和密码,如果这样操作是可行的,那不就非常舒服的控制目标了吗。
两个方法:
1.直接获取到目标系统上的 todesk 配置文件,然后将配置文件的内容复制出来,覆盖你自己电脑的 todesk 配置文件,然后在你自己的 todesk 上就可以看到目标的连接账号和密码了。
2.目标运行 todesk 后,通过目标的内存信息进行提取。主要原因是因为软件运行后,将这些敏感信息直接以明文的形式存储在内存中了。
先读取进程的 PID(进程 ID)
通过 cmd 输入以下命令
tasklist | find "ToDesk.exe"
此时会出现二个进程,这里找到非 Services 的 PID
使用 procdump64.exe
通过 cmd 输入以下命令
procdump64.exe -accepteula -ma 前面查到非Services的pid
此时会生成一个类似 ToDesk.exe_240911_105659.dmp 格式的文件。
使用 010Editor 打开 .dmp 文件并手动查找
设备代码和临时密码
ctrl+f 直接搜索当前日期(20240911),结果就出来了,这个日期是软件的安装日期(更新日期),即年月日时分秒。
当然,你肯定没法猜到别人具体什么时候安装(更新)的软件,那怎么办?那就输入 2023、2024 等年份找一找呗,只能麻烦一点咯。
安全密码也可以读取
位置如下。
如果软件是登录状态,往下滑一滑还可以看到登录手机号,这个点各位师傅可以自己去验证一下。
关注公众号,发送消息"td"获取复现环境安装包
END
往期精彩回顾
原文始发于微信公众号(大伯为安全):当我们渗透拿到目标系统shell权限后,如果发现目标系统存在ToDesk进程,那我们能获取到账号密码直接实现远程桌面连接吗?
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论