读取向日葵绕360打内网

字节脉搏实验室

共 1550字,需浏览 4分钟

 ·

2021-06-22 09:30

文章源自【字节脉搏社区】-字节脉搏实验室

作者-lation

扫描下方二维码进入社区

在某次演练打点信息收集的时候发现资产里面有某OA,正好上个月爆出了他的漏洞,具体看清水川崎师傅的《HVV行动之某OA流量应急》分析文章。

先看看是否出网,能出网直接上CS

再看看是否有杀软

一眼就看到了360

 直接powershell,在印象里360是不会杀原生的powershell

 自己本地测试也是能正常上线的。

 结果。。。一上线就秒掉。。。掉就掉把,关键是360powershell给拉黑了(也有可能是需要点360的允许)。。。就这样powershell废了。

这可把我整懵逼。就在这时,我发现进程中的SunloginClient.exe

这不是向日葵么?正好前两天看了大佬的操作,模仿一波!!

wmic process where
processid=4444 get processid,executablepath,name

读取向日葵路径

type  读取配置文件


在ini中存在这两个关键字段**

fastcode=*********

encry_pwd=********

1.fastcode为本机识别码

2.encry_pwd为本机验证码但被加密

这里可以通过

https://github.com/wafinfo/Sunflower_get_Password

解密

再后续就是内网了。。

事后回想起来在其他点,是否也能通过给机器传入绿化版向日葵,运行向日葵之后读取配置的操作



总结

1.powershell上线的时候过度自信,没做免杀。

2.常规操作不行的时候冷静下来重新整理思路也许有不一样的结果。

通知!

公众号招募文章投稿小伙伴啦!只要你有技术有想法要分享给更多的朋友,就可以参与到我们的投稿计划当中哦~感兴趣的朋友公众号首页菜单栏点击【商务合作-我要投稿】即可。期待大家的参与~

记得扫码

关注我们


浏览 22
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报