远控软件在渗透测试中的利用方法

前言

本文详细介绍了在获取服务器webshell权限后，如何利用目标服务器上已安装的远程控制软件（如ToDesk、AnyDesk、TeamViewer）进行远程连接的技术方法。当传统渗透手段（如CS/MSF上线、添加RDP用户）因杀软拦截而失效时，这些方法提供了有效的替代方案。

ToDesk利用方法

环境准备

• 测试版本：4.7.0.2
• 目标条件：服务器已安装ToDesk

操作步骤

1. 定位安装目录：

   wmic process where name="ToDesk.exe" get processid,executablepath,name
   

   默认安装路径通常为：C:/Program Files/ToDesk/

2. 获取配置信息：

   • 查看Config.ini文件获取clientid
   • 记录tempAuthPassEX值（加密的密码）

3. 攻击机配置：

   • 将目标机的tempAuthPassEX值复制到攻击机ToDesk目录下的config.ini中
   • 替换攻击机原有的tempAuthPassEX值
   • 重启攻击机ToDesk

4. 连接目标：

   • 使用目标机的clientid和攻击机显示的密码（现在与目标机相同）进行连接

5. 目标机未安装ToDesk时的处理：

   • 上传ToDesk安装包
   • 静默安装：Todesk.exe /S
   • 后续步骤同上

AnyDesk利用方法

环境准备

• 测试版本：7.1.13
• 目标条件：服务器已安装AnyDesk

操作步骤

1. 终止目标进程：

   • 注意：重启后ID和密码会变化，易被发现

2. 定位安装目录：

   • 默认路径：%AppData%\AnyDesk

3. 清理目标配置：

   • 删除%AppData%\AnyDesk下所有文件

4. 攻击机准备：

   • 配置无人值守密码
   • 记录攻击机原始ID
   • 关闭所有AnyDesk进程

5. 上传配置：

   • 将攻击机%AppData%\AnyDesk目录下的文件上传到目标机
   • 删除攻击机该目录下所有文件

6. 启动目标AnyDesk：

   • 上传并执行anydesk.exe
   • 程序会加载新上传的配置文件

7. 连接目标：

   • 使用原攻击机ID和无人值守密码登录

8. 目标机未安装AnyDesk时的处理：

   • 创建目录：md %AppData%\AnyDesk
   • 上传安装包并安装
   • 后续步骤同上

TeamViewer利用方法

环境准备

• 测试版本：15.18.5
• 目标条件：服务器已安装TeamViewer

操作步骤

1. 使用工具获取凭证：

   • 工具地址：https://github.com/uknowsec/SharpDecryptPwd
   • 直接获取ID和连接密码

2. 连接目标：

   • 使用获取的ID和密码直接连接

注意事项

• 最新版TeamViewer此方法可能失效

总结

1. 优先检查目标机已安装的远控软件
2. 根据不同类型采取相应利用方法
3. 未安装时可考虑上传安装包静默安装
4. 注意操作可能产生的日志和痕迹
5. TeamViewer最新版需寻找其他利用方法

这些方法在渗透测试中提供了绕过传统防御手段的有效途径，但需注意操作的隐蔽性和可能产生的告警。