前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >读取向日葵绕360打内网

读取向日葵绕360打内网

作者头像
字节脉搏实验室
发布2021-07-09 15:29:27
1.4K0
发布2021-07-09 15:29:27
举报
文章被收录于专栏:字节脉搏实验室

文章源自【字节脉搏社区】-字节脉搏实验室

作者-lation

在某次演练打点信息收集的时候发现资产里面有某OA,正好上个月爆出了他的漏洞,具体看清水川崎师傅的《HVV行动之某OA流量应急》分析文章。

先看看是否出网,能出网直接上CS!

再看看是否有杀软

一眼就看到了360

直接powershell上,在印象里360是不会杀原生的powershell

自己本地测试也是能正常上线的。

结果。。。一上线就秒掉。。。掉就掉把,关键是360把powershell给拉黑了(也有可能是需要点360的允许)。。。就这样powershell废了。

这可把我整懵逼。就在这时,我发现进程中的SunloginClient.exe

这不是向日葵么?正好前两天看了大佬的操作,模仿一波!!

wmic process where processid=4444 get processid,executablepath,name

读取向日葵路径

type 读取配置文件

在ini中存在这两个关键字段**

fastcode=*********

encry_pwd=********

1.fastcode为本机识别码

2.encry_pwd为本机验证码但被加密

这里可以通过

https://github.com/wafinfo/Sunflower_get_Password

解密

再后续就是内网了。。

事后回想起来在其他点,是否也能通过给机器传入绿化版向日葵,运行向日葵之后读取配置的操作

总结

1.在powershell上线的时候过度自信,没做免杀。

2.常规操作不行的时候冷静下来重新整理思路也许有不一样的结果。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-06-21,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 字节脉搏实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
验证码
腾讯云新一代行为验证码(Captcha),基于十道安全栅栏, 为网页、App、小程序开发者打造立体、全面的人机验证。最大程度保护注册登录、活动秒杀、点赞发帖、数据保护等各大场景下业务安全的同时,提供更精细化的用户体验。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档