0x01 弱口令YYDS

在做資產梳理的時候發現了一個弱口令,是Tomcat中間件的后臺管理弱口令,Tomcat的后臺管理處是可以上傳webshell的。

http://xxxxxxx:2903/manager/status

在這里,我們需要上傳一個war包,war包這樣構造,首先選擇一個JSP木馬,將其命名為test.jsp,然后將該文件添加到壓縮文件。

注意是zip類型的壓縮文件,然后我們把壓縮文件重命名為test.war,然后使用冰蝎連接。

隨后訪問網站的/manager/html/list,發現上傳成功

直接訪問:http://xxxxxxx:2903/test2/test1.jsp

0x02 getshell

使用冰蝎連接

連接成功后接下來就是內網信息收集了

0x03 內網窺探

照常按例查看權限、網卡、域及進程

whoami


ipconfig /all

沒有發現域環境

systeminfo


tasklist /svc

放入到殺軟對比中

竟然發現了遠程桌面管理軟件,還是倆個

0x04 另辟蹊徑

在殺軟比對中發現了向日葵,ToDesk遠程控制軟件

ToDesk 是一款多平臺遠程控制軟件,支持主流操作系統Windows、Linux、Mac、Android、iOS跨平臺協同操作。

默認安裝的ToDesk的配置文件在

C:\Program Files (x86)\ToDesk\config.ini

但是我在文件瀏覽中發現兩個ToDesk配置文件

C:/Program Files/ToDesk/config.ini


C:/Program Files (x86)/ToDesk/config.ini

0x05 偷天換日

在ToDesk中會有一個叫臨時密碼的東西

利用方法很簡單,直接將受害機的臨時密碼復制出來,替換到本機的config.ini文件中,重啟本機的ToDesk就可以看到明文密碼了。

在上面說到我發現了兩個配置文件,每個配置文件的臨時密碼還不一樣,分別為:

tempAuthPassEx=16aec80f0bc8xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxa3eadxxx33d721daxxxxxxxxxxxxxxx2d877ef6xxxxxxxxxxb2fVersion=4.1.1tempAuthPassEx=f383dd44eaafxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxd3325cxxx40ec20cdaxxxxxxxxxxxxxxxxb1fe64axxxxxxxxx0834Version=4.6.2.3
敏感信息我都會進行模糊處理

后來發現可能是裝了兩個不同的版本,分別使用這兩個版本的臨時密碼的密文進行還原明文,先看Version=4.1.1

還原后發現明文為343266,那就使用該密碼進行嘗試

第一次失敗,還有一個密文進行嘗試,Version=4.6.2.3

替換完成后發現這次的密碼比較專業一點,嘗試連接

第二次專業的密碼也失敗了,還有一次機會

0x06 我還偷

除了ToDesk遠程控制軟件,還有一個就是向日葵;在向日葵軟件中需要獲取的為兩處,Fastcode:本機識別碼 Encry_pwd:本機驗證碼

配置文件路徑:

安裝版:C:\Program Files\Oray\SunLogin\SunloginClient\config.ini便攜版:C:\ProgramData\Oray\SunloginClient\config.ini

注意高版本的向日葵配置是放在注冊表中

reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginInforeg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginGreenInfo

在 C:\Program Files\Oray\SunLogin\SunloginClient\并沒有獲取到config.ini配置文件,只是看到了許多日志文件

換路徑,通過摸索在 C:/ProgramData/Oray/SunloginClient/sys_config.ini發現了向日葵的配置文件

使用離線工具進行解密,工具鏈接:

https://github.com/wafinfo/Sunflower_get_Password

python SunDecrypt.py 根據提示輸入encry_pwd

使用設備識別碼:6xxxxxxx5 和 解密出來的密碼:123456 進行連接

第三次成功連接遠程桌面

0x07 總結

對于內網的一些信息收集又多了一些選擇,往往最簡單最樸素的方法是為最致命的。

滲透測試 向日葵 config
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接