✎ 阅读须知
乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
乌鸦安全拥有对此文章的修改、删除和解释权限,如转载或传播此文章,需保证文章的完整性,未经允许,禁止转载!
本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!!!
更新时间:2022.06.03
本文首发乌鸦安全知识星球
1. 介绍
向日葵远程控制是一款阳光的远程控制及远程桌面产品,获得微软认证,界面友好,简单易用,安全放心,体积小巧,易快速安装使用。配合向日葵开机棒,还可支持数百台主机的远程开机,实现远程开机与控制一体化。通过向日葵,你可以在世界上任何地点、任何网络中,轻松实现手机控制手机,手机控制电脑,电脑控制电脑。
在很多场景中,拿到了Windows下的权限之后,可能由于杀软或者其他的情况下,无法登录目标PC,但是当目标的电脑中安装了向日葵的时候,可以通过读取向日葵本机识别码和验证码,直接登录。
2. 本机识别码和验证码识别
本文主要参考于
代码语言:javascript复制https://github.com/wafinfo/Sunflower_get_Password向日葵配置的识别码和验证码的读取原理是根据向日葵配置文件路径,分别提取config.ini参数里面encry_pwd(本机验证码),对其中的验证码进行解密。
作者提供的方案中,老版本主要是通过配置文件路径,新版本通过查询注册表查询来实现的:
老版本通过配置文件来查询
代码语言:javascript复制安装版:C:Program FilesOraySunLoginSunloginClientconfig.ini
便携版(绿色版):C:ProgramDataOraySunloginClientconfig.ini新版本通过注册表来查询
代码语言:javascript复制reg query HKEY_USERS.DEFAULTSoftwareOraySunLoginSunloginClientSunloginInfo
reg query HKEY_USERS.DEFAULTSoftwareOraySunLoginSunloginClientSunloginGreenInfo在作者的方案中,对于老版本和新版本的向日葵两种方法都提供了解决方案,但随着向日葵的更新,目前最新版本已经无法解密,在这里我以几个不同的版本为例来分析下。
2.1 老版本向日葵(安装版)
测试版本:SunloginClient_10.3.0.27372 安装版本
测试版本:SunloginClient_11.0.0.33826_x64安装版本
这个路径的文件和作者文中的路径稍微有些不同:作者的:
代码语言:javascript复制C:Program FilesOraySunLoginSunloginClientconfig.ini而实际上目前我的文件在:
代码语言:javascript复制C:Program Files (x86)OraySunLoginSunloginClient
所以对于老版本的话,路径应该有两种:
代码语言:javascript复制向日葵默认配置文件路径:
安装版64位:C:Program FilesOraySunLoginSunloginClientconfig.ini
安装版32位:C:Program Files (x86)OraySunLoginSunloginClientconfig.ini
在这里读出config.ini文件:
然后使用作者的脚本来解密:
安装 pip3 install unicorn
直接运行:python3 SunDecrypt.py
此时加密之后的验证码:2EIvI9VEuOI=
认证码:583247734
此时解出来验证码为284D0Q 登录一下试试,登录成功:
2.2 次新版本向日葵
最新版向日葵已经无法通过作者的方法来获取信息,这里提供的是一个次新版,版本号不详了,本来我想着从网上找的,但是没找到,所以这里直接使用实战目标里面的截图来说明下:
次新版本向日葵目前已经无法通过默认路径的方法来获取配置信息,但是在作者的github中也说了,可以通过注册表查询的方式来获取其中的信息:
reg query HKEY_USERS.DEFAULTSoftwareOraySunLoginSunloginClientSunloginInfo
reg query HKEY_USERS.DEFAULTSoftwareOraySunLoginSunloginClientSunloginGreenInfo
执行之后的结果:
2.3 更老的版本
在更老的向日葵版本中,可以通过查询config.ini直接获取明文的验证码
向日葵默认配置文件路径:
安装版64位:C:Program FilesOraySunLoginSunloginClientconfig.ini
安装版32位:C:Program Files (x86)OraySunLoginSunloginClientconfig.ini2.4 最新版(暂无公开方法)
目前向日葵最新版已经无法通过上述方法查到信息,在这里稍微修改之后,还是能查到加密之后的认证码和识别码:
通过注册表可以查到:
代码语言:javascript复制reg query HKEY_CURRENT_USERSOFTWAREOraySunLoginSunloginClient
C:Userscrow>reg query HKEY_CURRENT_USERSOFTWAREOraySunLoginSunloginClient
HKEY_CURRENT_USERSOFTWAREOraySunLoginSunloginClient
new_clientId REG_SZ 574c0f98-63bc-474f-8e90-bb66d6577e19
secret REG_SZ 8g!4#*6bv1qiO2ydbHqx?wzKjjVxZp*$
machine_code REG_SZ hcKO8pBb5zUXwkDdxOKUICvEAJUFCPacIHMy0Al4yzkrBCtbmRk6w6tgQHJ4MWdEQUvDNPKVDFY=但是在这里已经无法进行解密,后续如果有大佬能够研究下的话,欢迎一起学习。
