上次我们说目标系统上如果有 ToDesk,我们可以通过配置文件或者内存信息提取连接账号和密码,那如果目标系统上是经典软件向日葵呢?
也是两个方法,并且是一样的方法:
1.获取目标系统上的向日葵配置文件,然后将配置文件的内容复制出来,覆盖你自己电脑的配置文件。但是,新版本你根本就找不到配置文件,只老版本有这个问题,但是!!老版本安装了根本就不能正常使用,官方直接不让你老版本软件连接它的服务器,所以此方法以前能用、现在凉凉。
2.目标运行向日葵后,通过目标的内存信息进行提取。主要原因是因为软件运行后,将这些敏感信息直接以明文的形式存储在内存中了。
先读取进程的 PID(进程 ID)
通过 cmd 输入以下命令
tasklist | find "SunloginClient.exe"此时会出现三个进程,这里找到非 Services 的 PID
使用 procdump64.exe
通过 cmd 输入以下命令
procdump64.exe -accepteula -ma 前面查到非Services的pid此时会生成一个类似SunloginClient.exe_240911_101646.dmp格式的文件
使用 010Editor 打开 .dmp 文件并手动查找
查找设备识别码
ctrl+f 搜索 hostname,出现了一个结果,就能定位到识别码了
查找验证码
ctrl+f 后首先在选项处打开正则搜索功能
然后搜索 <f f=yahei.28 c=color_edit >.*</f>,我这里出现了 19 个结果,往下翻一翻就能定位到验证码。你会发现这里其实也定位到了识别码,所以这个方法可以识别码和验证码一起搜(搜索语法还可以优化哈,做更精准的提取)。
关注公众号,发送消息"向日葵"获取复现工具
END
往期精彩回顾
当我们渗透拿到目标系统shell权限后,如果发现目标系统存在ToDesk进程,那我们能获取到账号密码直接实现远程桌面连接吗?
原文始发于微信公众号(大伯为安全):渗透测试 | 通过内存信息读取向日葵连接账号和密码
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论