安全矩阵

 找回密码
 立即注册
搜索
查看: 328|回复: 0

记一次渗透测试遇到远程控制软件的深入利用

[复制链接]

181

主题

182

帖子

721

积分

高级会员

Rank: 4

积分
721
发表于 2023-5-24 20:39:55 | 显示全部楼层 |阅读模式
本帖最后由 wangqiang 于 2023-5-24 20:44 编辑

记一次渗透测试遇到远程控制软件的深入利用

Z2O安全攻防 2023-05-22 20:58 发表于北京
转载自:记一次渗透测试遇到远程控制软件的深入利用

文章正文

0x01-弱口令YYDS
在做资产梳理的时候发现了一个弱口令http://xxxxxxx:2903/manager/status是Tomcat中间件的后台管理弱口令Tomcat的后台管理处是可以上传webshell的在这里,
我们需要上传一个war包,war包这样构造,首先选择一个JSP木马,将其命名为test.jsp,然后将该文件添加到压缩文件,注意是zip类型的压缩文件,然后我们把压缩文件重命名为test.war,然后使用冰蝎连接。


随后访问网站的/manager/html/list,发现上传成功


直接访问:http://xxxxxxx:2903/test2/test1.jsp



0x02-getshell

使用冰蝎连接


连接成功后接下来就是内网信息收集了
0x03-内网窥探
照常按例查看权限、网卡、域及进程whoami



ipconfig /all


systeminfo



没有发现域环境tasklist /svc



放入到杀软对比中竟然发现了远程桌面管理软件,还是俩个

0x04-另辟蹊径
在杀软比对中发现了安装了远程控制软件
  1. To* 是一款多平台远程控制软件,支持主流操作系统Windows、Linux、Mac、Android、iOS跨平台协同操作。
复制代码

默认安装的To*的配置文件在
  1. C:\Program Files (x86)\To*\config.ini
复制代码

但是我在文件浏览中发现两个To*配置文件
  1. C:/Program Files/To*/config.ini
复制代码








0x05-偷天换日

在To*中会有一个叫临时密码的东西



利用方法很简单,直接将受害机的临时密码复制出来,替换到本机的config.ini文件中,重启本机的To*就可以看到明文密码了在上面说到我发现了两个配置文件,每个配置文件的临时密码还不一样分别为

  1. tempAuthPassEx=16aec80f0bc8xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxa3eadxxx33
  2. d721daxxxxxxxxxxxxxxx2d877ef6xxxxxxxxxxb2f
  3. Version=4.1.1
  4. tempAuthPassEx=f383dd44eaafxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxd3325cxxx40e
  5. c20cdaxxxxxxxxxxxxxxxxb1fe64axxxxxxxxx0834
  6. Version=4.6.2.3

  7. 敏感信息我都会进行模糊处理
复制代码


后来发现可能是装了两个不同的版本分别使用这两个版本的临时密码的密文进行还原明文先看Version=4.1.1


还原后发现明文为343266,那就使用该密码进行尝试



第一次失败,还有一个密文进行尝试Version=4.6.2.3



替换完成后发现这次的密码比较专业一点,尝试连接



第二次专业的密码也失败了还有一次机会

0x06-我还偷
除了To*远程控制软件,还有一个远程控制软件2在软件2中需要获取的为两处,Fastcode:本机识别码 Encry_pwd:本机验证码配置文件路径:
安装版:
  1. C:\Program Files\**\config.ini
复制代码

便携版
  1. C:\ProgramData\**\config.ini
复制代码

注意高版本的2配置是放在注册表中
  1. reg query HKEY_USERS\.DEFAULT\Software\O*\S*\S*\S*reg queryHKEY_USERS\.DEFAULT\Software\O*\S*\S*\S*
复制代码

  1. C:\Program Files\O*\S*\S*\
复制代码
并没有获取到config.ini配置文件,只是看到了许多日志文件



换路径,通过摸索在 C:/ProgramData/O8/S*/sys_config.ini发现了2的配置文件



使用离线工具进行解密工具链接:

https://github.com/wafinfo/Sunflower_get_Passwordpython SunDecrypt.py
根据提示输入encry_pwd

使用设备识别码:6xxxxxxx5 和 解密出来的密码:12***56 进行连接第三次成功连接远程桌面

总结
对于内网的一些信息收集又多了一些选择,往往最简单最朴素的方法是为最致命的。
本文转自 https://xz.aliyun.com/t/12532






回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-29 07:34 , Processed in 0.014447 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表