实战！记一次关于向日葵的渗透测试

0x01 弱口令YYDS 在做资产梳理的时候发现了一个弱口令，是Tomcat中间件的后台管理弱口令，Tomcat的后台管理处是可以上传webshell的。 http://xxxxxxx:2903/manager/status 在这里，我们需要上传一个war包，war包这样构造，首先选择一个JSP木马，将其命名为test.jsp，然后将该文件添加到压缩文件。 注意是zip类型的压缩文件，然后我们把压缩文件重命名为test.war，然后使用冰蝎连接。 随后访问网站的/manager/html/list，发现上传成功 直接访问：http://xxxxxxx:2903/test2/test1.jsp 0x02 getshell 使用冰蝎连接 连接成功后接下来就是内网信息收集了 0x03 内网窥探 照常按例查看权限、网卡、域及进程 whoami ipconfig /all 没有发现域环境 systeminfo tasklist /svc 放入到杀软对比中 竟然发现了远程桌面管理软件，还是俩个 0x04 另辟蹊径 在杀软比对中发现了向日葵，ToDesk远程控制软件 ToDesk 是一款多平台远程控制软件，支持主流操作系统Windows、Linux、Mac、Android、iOS跨平台协同操作。 默认安装的ToDesk的配置文件在 C:Program Files (x86)ToDeskconfig.ini 但是我在文件浏览中发现两个ToDesk配置文件 C:/Program Files/ToDesk/config.ini C:/Program Files (x86)/ToDesk/config.ini 0x05 偷天换日 在ToDesk中会有一个叫临时密码的东西 利用方法很简单，直接将受害机的临时密码复制出来，替换到本机的config.ini文件中，重启本机的ToDesk就可以看到明文密码了。 在上面说到我发现了两个配置文件，每个配置文件的临时密码还不一样，分别为： tempAuthPassEx=16aec80f0bc8xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxa3eadxxx33d721daxxxxxxxxxxxxxxx2d877ef6xxxxxxxxxxb2fVersion=4.1.1tempAuthPassEx=f383dd44eaafxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxd3325cxxx40ec20cdaxxxxxxxxxxxxxxxxb1fe64axxxxxxxxx0834Version=4.6.2.3 敏感信息我都会进行模糊处理 后来发现可能是装了两个不同的版本，分别使用这两个版本的临时密码的密文进行还原明文，先看Version=4.1.1 还原后发现明文为343266，那就使用该密码进行尝试 第一次失败，还有一个密文进行尝试，Version=4.6.2.3 替换完成后发现这次的密码比较专业一点，尝试连接 第二次专业的密码也失败了，还有一次机会 0x06 我还偷 除了ToDesk远程控制软件，还有一个就是向日葵；在向日葵软件中需要获取的为两处，Fastcode：本机识别码 Encry_pwd：本机验证码 配置文件路径： 安装版：C:Program FilesOraySunLoginSunloginClientconfig.ini便携版：C:ProgramDataOraySunloginClientconfig.ini 注意高版本的向日葵配置是放在注册表中 reg query HKEY_USERS.DEFAULTSoftwareOraySunLoginSunloginClientSunloginInforeg query HKEY_USERS.DEFAULTSoftwareOraySunLoginSunloginClientSunloginGreenInfo 在 C:Program FilesOraySunLoginSunloginClient并没有获取到config.ini配置文件，只是看到了许多日志文件 换路径，通过摸索在 C:/ProgramData/Oray/SunloginClient/sys_config.ini发现了向日葵的配置文件 使用离线工具进行解密，工具链接： https://github.com/wafinfo/Sunflower_get_Password python SunDecrypt.py 根据提示输入encry_pwd 使用设备识别码：6xxxxxxx5 和 解密出来的密码：123456 进行连接 第三次成功连接远程桌面 0x07 总结 对于内网的一些信息收集又多了一些选择，往往最简单最朴素的方法是为最致命的。 文章来源：先知社区（上*∮）原文地址：https://xz.aliyun.com/t/12516 文章来源：排版潇湘信安 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文 END