内网渗透之向日葵帮我干掉了杀软( 二 ) _内网渗透

攻击机打开向日葵如下图所示

文章插图

首先我试着把我攻击机的验证码所对应的密文修改到被攻击机的 config.ini 文件中

文章插图

首先看一下被攻击机原本的验证码

文章插图

这里我把攻击机的验证码直接改到被攻击机的 config.ini 上，这里我已经改了但是发现本机验证码没有反应

文章插图

因为是本地环境我试着重启一下发现本机验证码才会跟攻击机的验证码相同

文章插图

这里有一个重点，如果要更改被攻击机的验证码就必须要被攻击机端的向日葵重启才行，但是这个地方有两个问题，一是我拿到的 webshell 只是 user 权限，二是我查看了向日葵的进程为 system 权限，如果在命令行直接 taskkill 它的 pid 应该是不能结束的

文章插图

这里被攻击机上更换验证码后需要重启权限不够，但是验证码重启之后确实是跟攻击机上一样，那么我想了一下能不能把被攻击机上的验证码放到攻击机上来呢？
这里其实跟流量代理部分的思想差不多，正向代理用不了的情况下使用反向代理
先更新一下被攻击机的验证码，复制 encry_pwd=wdtEBc/PIxU=

文章插图

复制到攻击机的 encry_pwd 的位置，如图所示

文章插图

重启后发现本机验证码已经变为了被攻击机的验证码，这时候就可以用被攻击机的识别码和验证码去直接连接主机的远程桌面了，上去之后直接简单粗暴关掉360

文章插图

0x04 实战这里我先把靶机的 config.ini 下载回本地

文章插图

然后修改我的 encry_pwd 为靶机的 encry_pwd ，用 fastcode 连接

文章插图

直接点击远程协助，终于见到了庐山真面目

文章插图

进入之后发现他好像正在看任务管理器，本来常规应该是先 quser 查看在线情况的，这里 quser 执行权限不够，也不知道我到底挤他没有，因为之前上了两个马好像被杀了。不过一番麻溜操作关 360、管家直接 powershell上线，不过当时拿到 shell 之后也确实命令回显特别慢，在 2008 上装这么多东西能不慢吗，也不知道这位老哥咋想的。
0x05 后记向日葵的每一次登录都会有记录，所以使用向日葵登录的时候也会有痕迹，也和进内网一样需要做痕迹清除，向日葵可能需要清除痕迹的地方可能有以下几处：

@echo offtaskkill /f /im SunloginClient.exedel /s /q C:WindowsPrefetchSUNLOGINCLIENT*.pfdel /s /q%userprofile%AppDataRoamingMicrosoftWindowsRecentSunloginClient*.lnkrmdir /s /q C:ProgramDataOraySunloginClientrmdir /s /q %userprofile%AppDataRoamingOraySunloginClientreg delete "HKCUSoftwareOraySunLoginSunloginClient" /freg delete"HKLMSOFTWAREWOW6432NodeMicrosoftWindowsCurrentVersionRun" /vSunloginClient /fdel /s /q SunloginClient.exe

向日葵的权限确实很高，在内网中如果能拿到向日葵的配置文件就相当于已经拿下了这台主机，因为 system 权限连 360 都限制不了。
向日葵有两种安装模式，默认的安装模式是会弹 UAC ，而免安装绿色版运行则不需要，在进入内网之后也可以用免安装向日葵这种骚姿势实现内网穿透，只是这里会需要修改注册表，需要一定的权限，这里就不拓展了，只是给师傅们提供一种思路，溜了溜了。