读取向日葵绕360打内网

  • A+
所属分类:安全文章

文章源自【字节脉搏社区】-字节脉搏实验室

作者-lation

扫描下方二维码进入社区

读取向日葵绕360打内网

在某次演练打点信息收集的时候发现资产里面有某OA,正好上个月爆出了他的漏洞,具体看清水川崎师傅的《HVV行动之某OA流量应急》分析文章。

读取向日葵绕360打内网

先看看是否出网,能出网直接上CS

读取向日葵绕360打内网

再看看是否有杀软

读取向日葵绕360打内网

一眼就看到了360

 直接powershell,在印象里360是不会杀原生的powershell

 自己本地测试也是能正常上线的。

 结果。。。一上线就秒掉。。。掉就掉把,关键是360powershell给拉黑了(也有可能是需要点360的允许)。。。就这样powershell废了。

读取向日葵绕360打内网

这可把我整懵逼。就在这时,我发现进程中的SunloginClient.exe

读取向日葵绕360打内网

这不是向日葵么?正好前两天看了大佬的操作,模仿一波!!

wmic process where
processid=4444 get processid,executablepath,name

读取向日葵路径

读取向日葵绕360打内网

type  读取配置文件

读取向日葵绕360打内网


在ini中存在这两个关键字段**

fastcode=*********

encry_pwd=********

1.fastcode为本机识别码

2.encry_pwd为本机验证码但被加密

这里可以通过

https://github.com/wafinfo/Sunflower_get_Password

解密

读取向日葵绕360打内网再后续就是内网了。。

读取向日葵绕360打内网

事后回想起来在其他点,是否也能通过给机器传入绿化版向日葵,运行向日葵之后读取配置的操作



总结

1.powershell上线的时候过度自信,没做免杀。

2.常规操作不行的时候冷静下来重新整理思路也许有不一样的结果。

通知!

公众号招募文章投稿小伙伴啦!只要你有技术有想法要分享给更多的朋友,就可以参与到我们的投稿计划当中哦~感兴趣的朋友公众号首页菜单栏点击【商务合作-我要投稿】即可。期待大家的参与~

读取向日葵绕360打内网

记得扫码

关注我们


本文始发于微信公众号(字节脉搏实验室):读取向日葵绕360打内网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: