记一次渗透测试遇到远程控制软件的深入利用

记一次渗透测试遇到远程控制软件的深入利用
2023-5-22 21:1:16 Author: Z2O安全攻防(查看原文) 阅读量:17 收藏

点击上方[蓝字]，关注我们

建议大家把公众号“Z2O安全攻防”设为星标，否则可能就看不到啦！因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法：点击右上角的【...】，然后点击【设为星标】即可。

本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者及本公众号不为此承担任何责任。

0x01-弱口令YYDS

在做资产梳理的时候发现了一个弱口令
http://xxxxxxx:2903/manager/status
是Tomcat中间件的后台管理弱口令
Tomcat的后台管理处是可以上传webshell的
在这里，我们需要上传一个war包，war包这样构造，首先选择一个JSP木马，将其命名为test.jsp，然后
将该文件添加到压缩文件，注意是zip类型的压缩文件，然后我们把压缩文件重命名为test.war，然后使用
冰蝎连接。

随后访问网站的/manager/html/list，发现上传成功

直接访问：http://xxxxxxx:2903/test2/test1.jsp

0x02-getshell

使用冰蝎连接

连接成功后接下来就是内网信息收集了

0x03-内网窥探

照常按例查看权限、网卡、域及进程
whoami

ipconfig /all

systeminfo

没有发现域环境

tasklist /svc

放入到杀软对比中

竟然发现了远程桌面管理软件，还是俩个

0x04-另辟蹊径

在杀软比对中发现了安装了远程控制软件

To* 是一款多平台远程控制软件，支持主流操作系统Windows、Linux、Mac、Android、iOS跨平台协同操作。

默认安装的To*的配置文件在

C:\Program Files (x86)\To*\config.ini

但是我在文件浏览中发现两个To*配置文件

C:/Program Files/To*/config.ini

C:/Program Files (x86)/To*/config.ini

0x05-偷天换日

在To*中会有一个叫临时密码的东西

利用方法很简单，直接将受害机的临时密码复制出来，替换到本机的config.ini文件中，重启本机的
To*就可以看到明文密码了
在上面说到我发现了两个配置文件，每个配置文件的临时密码还不一样
分别为:

tempAuthPassEx=16aec80f0bc8xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxa3eadxxx33
d721daxxxxxxxxxxxxxxx2d877ef6xxxxxxxxxxb2f
Version=4.1.1
tempAuthPassEx=f383dd44eaafxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxd3325cxxx40e
c20cdaxxxxxxxxxxxxxxxxb1fe64axxxxxxxxx0834
Version=4.6.2.3
敏感信息我都会进行模糊处理

后来发现可能是装了两个不同的版本
分别使用这两个版本的临时密码的密文进行还原明文
先看Version=4.1.1

还原后发现明文为343266，那就使用该密码进行尝试

第一次失败，还有一个密文进行尝试
Version=4.6.2.3

替换完成后发现这次的密码比较专业一点，尝试连接

第二次专业的密码也失败了
还有一次机会

0x06-我还偷

除了To*远程控制软件，还有一个远程控制软件2
在软件2中需要获取的为两处，Fastcode：本机识别码 Encry_pwd：本机验证码
配置文件路径：
安装版：

C:\Program Files\**\config.ini

便携版

C:\ProgramData\**\config.ini

注意高版本的2配置是放在注册表中

reg query HKEY_USERS\.DEFAULT\Software\O*\S*\S*\S*
reg query
HKEY_USERS\.DEFAULT\Software\O*\S*\S*\S*

在 C:\Program Files\O*\S*\S*\并没有获取到config.ini配置文件，只是看到了许多日志文件

换路径，通过摸索在 C:/ProgramData/O8/S*/sys_config.ini发现了2的配置文件

使用离线工具进行解密
工具链接:https://github.com/wafinfo/Sunflower_get_Password

python SunDecrypt.py 根据提示输入encry_pwd

使用设备识别码：6xxxxxxx5 和解密出来的密码：12***56 进行连接

第三次成功连接远程桌面

总结

对于内网的一些信息收集又多了一些选择，往往最简单最朴素的方法是为最致命的。

本文转自 https://xz.aliyun.com/t/12532

hvv招募

2023Hvv大招募，蓝队中高级位置还有很多！参加的师傅扫描下面二维码提交简历，也可以添加下面的微信私信回复"hvv"，拉你入hvv项目群！

知识星球

致力于红蓝对抗，实战攻防，星球不定时更新内外网攻防渗透技巧，以及最新学习研究成果等。常态化更新最新安全动态。专题更新奇技淫巧小Tips及实战案例。

涉及方向包括Web渗透、免杀绕过、内网攻防、代码审计、应急响应、云安全。星球中已发布 300+ 安全资源，针对网络安全成员的普遍水平，并为星友提供了教程、工具、POC&EXP以及各种学习笔记等等。

交流群

关注公众号回复“加群”，添加Z2OBot好友，自动拉你加入Z2O安全攻防交流群(微信群)分享更多好东西。

关注我们

关注福利：

回复“app" 获取 app渗透和app抓包教程

回复“渗透字典" 获取针对一些字典重新划分处理，收集了几个密码管理字典生成器用来扩展更多字典的仓库。

回复“书籍" 获取网络安全相关经典书籍电子版pdf

回复“资料" 获取网络安全、渗透测试相关资料文档

点个【在看】，你最好看

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2ODYxMzY3OQ==&mid=2247496919&idx=1&sn=0d43463f64e5b57448a4f6f4b8328a27&chksm=ceab1f97f9dc96811490044e7b4f4822d60884a1cc294a4e819801c88a6327d0575a643b6316#rd
如有侵权请联系:admin#unsafe.sh