读取向日葵绕360打内网

文章源自【字节脉搏社区】-字节脉搏实验室

作者-lation

在某次演练打点信息收集的时候发现资产里面有某OA，正好上个月爆出了他的漏洞，具体看清水川崎师傅的《HVV行动之某OA流量应急》分析文章。

先看看是否出网，能出网直接上CS！

再看看是否有杀软

一眼就看到了360

直接powershell上,在印象里360是不会杀原生的powershell

自己本地测试也是能正常上线的。

结果。。。一上线就秒掉。。。掉就掉把，关键是360把powershell给拉黑了（也有可能是需要点360的允许）。。。就这样powershell废了。

这可把我整懵逼。就在这时，我发现进程中的SunloginClient.exe

这不是向日葵么？正好前两天看了大佬的操作，模仿一波！！

wmic process where processid=4444 get processid,executablepath,name

读取向日葵路径

type 读取配置文件

在ini中存在这两个关键字段**

fastcode=*********

encry_pwd=********

1.fastcode为本机识别码

2.encry_pwd为本机验证码但被加密

这里可以通过

https://github.com/wafinfo/Sunflower_get_Password

解密

再后续就是内网了。。

事后回想起来在其他点，是否也能通过给机器传入绿化版向日葵，运行向日葵之后读取配置的操作

总结

1.在powershell上线的时候过度自信，没做免杀。

2.常规操作不行的时候冷静下来重新整理思路也许有不一样的结果。