渗透测试 | 关于读取向日葵、ToDesk远程连接账号和密码

前言

在内网渗透中，我们会遇到很多使用向日葵或者ToDesk远程连接的设备，此时如果咱们能获取到连接id以及临时密码，这对我们进行下一步测试有很大的推进作用，但是一般访问他们的配置文件，这些基本上都是加密的。

遇到这种情况咱们可以提取存在的进程内存信息，进而从内存中获取咱们需要的配置信息。

向日葵

首先咱们打开最新版的向日葵

获取向日葵的运行PID

 tasklist /svc | findStr "SunloginClient.exe"

知道pid之后，使用procdump64.exe官方工具提取内存

 procdump64.exe -accepteula -ma 13028

提取出来文件稍微有点大，咱们先看流程，后续实战有工具帮咱们

针对二进制文件查看，可以是用winhex或者010，这里使用010查看，如果都没有用记事本查看也不是不行（抱住狗头）

使用正则bd{9}b进行搜索，咱们可以发现存在很多这样的数据出来，与本机id查看不难发现就是第一个出来的9位纯数字（后面还有其他规则可以获取，粗糙的可以直接这样看）

密码的规则比较固定，它存在于<f f=yahei.28 c=color_edit >中，咱们使用正则进行提取<f f=yahei.28 c=color_edit >([A-Za-z0-9]{6})</f>

至此咱们就获取到向日葵的连接方式了

ToDesk

ToDesk获取方式与向日葵的大体类似，只是提取规则不同，咱们也是快快的过一遍

查看ToDesk进行pid

 tasklist /svc | findStr "ToDesk.exe"

使用procdump64.exe官方工具提取内存，选择不带ToDesk_Service进行提取

 procdump64.exe -accepteula -ma 18092

使用010打开内存快照文件，连接id在日期附近，日期格式为20241115

直接搜索今天的日期：20241115

可以发现id和连接密码就在日期附近，咱们直接搜索id和密码，查看出现规律

可以发现从内存最开始读取，第一个出现的8位字母+数字组成的就是密码

第一个9位纯数字组成的就是id

（这是自己粗糙的查找方法，实际操作需要仔细一丢丢）

咱们使用正则进行提取就行

至此，咱们todesk的连接密码也获取到了

工具

这里咱们提一下实际环境中咱们应该怎么处置，真的用procdump64.exe提取有点繁琐，主要是内存文件有点大，不便于传输

flydyyg师傅已经出了一个开源获取的小工具，咱们可以直接使用

项目地址：https://github.com/flydyyg/readTdose-xiangrikui

学习大佬思路，鄙人在其基础上进一步提取了一些有用的信息，并对打包生成的exe进行免杀处理

免杀处理之后的效果：

小伙伴们可以自行打包，或者使用鄙人打包生成的

关注公众号：渗透云记，回复"20241115"即可获取

参考：https://github.com/flydyyg/readTdose-xiangrikui

往期精彩：