安全矩阵

 找回密码
 立即注册
搜索
查看: 784|回复: 0

实战!记一次关于向日葵的渗透测试

[复制链接]

102

主题

102

帖子

330

积分

中级会员

Rank: 3Rank: 3

积分
330
发表于 2023-5-16 00:13:26 | 显示全部楼层 |阅读模式
本帖最后由 jiangmingzi 于 2023-5-16 00:13 编辑

上*∮ 潇湘信安 2023-05-15 08:30 发表于湖南
0x01 弱口令YYDS
在做资产梳理的时候发现了一个弱口令,是Tomcat中间件的后台管理弱口令,Tomcat的后台管理处是可以上传webshell的。
  1. http://xxxxxxx:2903/manager/status
复制代码
在这里,我们需要上传一个war包,war包这样构造,首先选择一个JSP木马,将其命名为test.jsp,然后将该文件添加到压缩文件。

注意是zip类型的压缩文件,然后我们把压缩文件重命名为test.war,然后使用冰蝎连接。
随后访问网站的/manager/html/list,发现上传成功

直接访问:http://xxxxxxx:2903/test2/test1.jsp

0x02 getshell
使用冰蝎连接

连接成功后接下来就是内网信息收集了
0x03 内网窥探


照常按例查看权限、网卡、域及进程
  1. whoami
复制代码
  1. ipconfig /all
复制代码

没有发现域环境
  1. systeminfo
复制代码
  1. tasklist /svc
复制代码

放入到杀软对比中

竟然发现了远程桌面管理软件,还是俩个
0x04 另辟蹊径


在杀软比对中发现了向日葵,ToDesk远程控制软件
ToDesk 是一款多平台远程控制软件,支持主流操作系统Windows、Linux、Mac、Android、iOS跨平台协同操作。

默认安装的ToDesk的配置文件在

  1. C:\Program Files (x86)\ToDesk\config.ini
复制代码
但是我在文件浏览中发现两个ToDesk配置文件
  1. C:/Program Files/ToDesk/config.ini
复制代码
  1. C:/Program Files (x86)/ToDesk/config.ini
复制代码

0x05 偷天换日
在ToDesk中会有一个叫临时密码的东西

利用方法很简单,直接将受害机的临时密码复制出来,替换到本机的config.ini文件中,重启本机的ToDesk就可以看到明文密码了。



在上面说到我发现了两个配置文件,每个配置文件的临时密码还不一样,分别为:




  1. tempAuthPassEx=16aec80f0bc8xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxa3eadxxx33
  2. d721daxxxxxxxxxxxxxxx2d877ef6xxxxxxxxxxb2f
  3. Version=4.1.1
  4. tempAuthPassEx=f383dd44eaafxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxd3325cxxx40e
  5. c20cdaxxxxxxxxxxxxxxxxb1fe64axxxxxxxxx0834
  6. Version=4.6.2.3

  7. 敏感信息我都会进行模糊处理
复制代码
后来发现可能是装了两个不同的版本,分别使用这两个版本的临时密码的密文进行还原明文,先看Version=4.1.1

还原后发现明文为343266,那就使用该密码进行尝试

第一次失败,还有一个密文进行尝试,Version=4.6.2.3

替换完成后发现这次的密码比较专业一点,尝试连接

第二次专业的密码也失败了,还有一次机会
0x06 我还偷
除了ToDesk远程控制软件,还有一个就是向日葵;在向日葵软件中需要获取的为两处,Fastcode:本机识别码 Encry_pwd:本机验证码

配置文件路径:

  1. 安装版:C:\Program Files\Oray\SunLogin\SunloginClient\config.ini
  2. 便携版:C:\ProgramData\Oray\SunloginClient\config.ini
复制代码
注意高版本的向日葵配置是放在注册表中


  1. reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginInfo
  2. reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginGreenInfo
复制代码
在 C:\Program Files\Oray\SunLogin\SunloginClient\并没有获取到config.ini配置文件,只是看到了许多日志文件


换路径,通过摸索在 C:/ProgramData/Oray/SunloginClient/sys_config.ini发现了向日葵的配置文件

使用离线工具进行解密,工具链接:

https://github.com/wafinfo/Sunflower_get_Password
  1. python SunDecrypt.py 根据提示输入encry_pwd
复制代码

使用设备识别码:6xxxxxxx5 和 解密出来的密码:123456 进行连接

第三次成功连接远程桌面

0x07 总结

对于内网的一些信息收集又多了一些选择,往往最简单最朴素的方法是为最致命的。
  1. 文章来源:先知社区(上*∮)
  2. 原文地址:https://xz.aliyun.com/t/12516
复制代码





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 16:03 , Processed in 0.013143 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表