文章源自【字节脉搏社区】-字节脉搏实验室
作者-lation
在某次演练打点信息收集的时候发现资产里面有某OA,正好上个月爆出了他的漏洞,具体看清水川崎师傅的《HVV行动之某OA流量应急》分析文章。
先看看是否出网,能出网直接上CS!
再看看是否有杀软
一眼就看到了360
直接powershell上,在印象里360是不会杀原生的powershell
自己本地测试也是能正常上线的。
结果。。。一上线就秒掉。。。掉就掉把,关键是360把powershell给拉黑了(也有可能是需要点360的允许)。。。就这样powershell废了。
这可把我整懵逼。就在这时,我发现进程中的SunloginClient.exe
这不是向日葵么?正好前两天看了大佬的操作,模仿一波!!
wmic process where processid=4444 get processid,executablepath,name
读取向日葵路径
type 读取配置文件
在ini中存在这两个关键字段**
fastcode=*********
encry_pwd=********
1.fastcode为本机识别码
2.encry_pwd为本机验证码但被加密
这里可以通过
https://github.com/wafinfo/Sunflower_get_Password
解密
再后续就是内网了。。
事后回想起来在其他点,是否也能通过给机器传入绿化版向日葵,运行向日葵之后读取配置的操作
总结
1.在powershell上线的时候过度自信,没做免杀。
2.常规操作不行的时候冷静下来重新整理思路也许有不一样的结果。
