抓向日葵的密码

题记

　　前几天去参加了一个比赛，遇到这样一种情况，目标win10系统，抓不到系统的账号密码，未开放3389端口，但是存在向日葵的进程，成功利用大佬的文章复现了出来，抓到识别码后成功连接向日葵并在内网刷了不少分。

一、生成内存文件（实操中是在cs上直接操作的）

　　先读取进程的 PID：tasklist | find "SunloginClient.exe"

　　procdump64.exe -accepteula -ma 前面查到非Services的pid

　　可以看到生成的文件：

二、查找识别码与验证码

　　工具：将生成的.dmp文件拖到010Editor打开。

　　比赛过程我完全仿照大佬文章进行搜索的（ctrl+f 搜索 hostname，出现了一个结果，就能定位到识别码了），"hostname"可以按照文章正常读取到识别码值，值也是与文章的字段一样，但是我自己本机向日葵读取的时候却怎么也读取不到。

图：比赛时候抓取到的值

图：本机抓取不到

　　在看验证码的值，文章提示<f f=yahei.28 c=color_edit >.*</f>正则匹配可获取，但我在包里却搜不到。

图：原文正则语法抓不到内容

　　经过对比比赛时的结果与本机的情况，我发现该语法将可以直接获取验证码和识别码。c=color_edit >.*</f>，直接打开搜索结果看就行，简单又好用。

图：验证码值

图：结果列表获取到所有值

三、扩展：Todesk密码获取方法

两个方法：

　　1.直接获取到目标系统上的 todesk 配置文件，然后将配置文件的内容复制出来，覆盖你自己电脑的 todesk 配置文件，然后在你自己的 todesk 上就可以看到目标的连接账号和密码了。

　　2.目标运行 todesk 后，通过目标的内存信息进行提取。主要原因是因为软件运行后，将这些敏感信息直接以明文的形式存储在内存中了。（ctrl+f 直接搜索当前日期（20240911），结果就出来了，这个日期是软件的安装日期（更新日期），即年月日时分秒。）

参考文章

　　渗透测试 | 通过内存信息读取向日葵连接账号和密码：https://mp.weixin.qq.com/s/7JHSXyWgHRqOKhmwUCvBUQ

　　当我们渗透拿到目标系统shell权限后，如果发现目标系统存在ToDesk进程，那我们能获取到账号密码直接实现远程桌面连接吗？：https://mp.weixin.qq.com/s/t2_K3yL6x7Ir7n3o_LxeJA