内网渗透之向日葵帮我干掉了杀软 _内网渗透

最近在某地方举行攻防演练的时候进入后台管理拿到了一个 webshell ，但是 tasklist /svc 查看进程 360、电脑管家赫然在列，我的小伙伴本来准备使用注入 dll 来达到上线 cs 多人运动的效果，但是奈何中间出了点差错始终上不了线，机缘巧合之下发现被控主机有一个 SunloginClient.exe 进程，于是便有了下文。
0x01 初探进入后台的过程就不说了，这里上传了一个 asp 大马进入到对方主机， whoami 一看一个 user 权限

文章插图

然后一发 tasklist /svc 放到进程一查，好家伙 360+电脑管家的组合拳

文章插图

文章插图

这里卡了很久，因为目标机器为 windows2008 r2 ，跟win10系统有点差别，所以我的小伙伴注入dll的时候老是出一些问题，导致直接免杀上线一直没有成功。
中间这个资产就放了一段时间，到后面我们实在找不出其他可以打的靶标之后，我又突发奇想地回来看一下进程，翻一下目录，这次有了新发现。
首先发现了 SunloginClient.exe 这个进程，这个进程我判断出来应该是向日葵的进程。

文章插图

因为之前是直接上了一个哥斯拉马，而这个哥斯拉马在访问 D 盘目录下的文件时是有乱码且没有权限进去的，所以当时就没有管这几个文件夹，以为是 user 权限进不去这几个文件夹，这次上了一个单独的 asp 大马之后发现了一个向日葵文件夹，进去一个 config.ini 赫然在列，这就很舒服了。

文章插图

360 和电脑管家也是安装在 d 盘，要不是这两个杀软上线打进内网的时间可能会更快

文章插图

文章插图

0x02 进展向日葵的配置文件最重要的地方有三处，分别为：encry_pwd、fastcode、fastcodehistory
encry_pwd 为本机验证码，为密文，不可解密
fastcode 为本机识别码，为明文
fastcodehistory 为本机识别码历史，为密文，用 base64 解密即可，如果你的向日葵从来没有连接过别的主机， fastcodehistory 就为空