学习实践: Procdump获取本地远控信息
看到一篇文章是通过Procdump获取ToDesk远控信息的,于是实操了一下;顺便也测试了一下向日葵远控,发现都是适用的。该方法对于肉鸡提权有一定价值。
1、获取ToDesk远控信息
测试版本:ToDesk v4.7.4.3
测试工具:procdump、WinHex(其它十六进制编辑器也可)
操作步骤:
1)查看ToDesk进程PID,命令: tasklist /FI "IMAGENAME eq ToDesk*" /SVC
2)将进程内存转储到本地文件,命令: procdump64.exe -accepteula -ma 6216 (进程有两个,此处使用非ToDesk_Service服务的PID)
-accepteula 自动接受 Sysinternals 许可协议
-ma 写入“完整”转储文件,包括所有内存和元数据
3)用WinHex打开上面得到的内存转储文件,通过搜索转储日期进行定位,在日期上方附近即可找到“设备代码”和“连接密码”。
2、获取向日葵远控信息
测试版本:向日葵 v15.6.8.15068
测试工具:procdump、WinHex(其它十六进制编辑器也可)
操作步骤:
1)查看向日葵进程PID,命令: tasklist /FI "IMAGENAME eq SunloginClient*" /SVC
2)将进程内存转储到本地文件,命令: procdump64.exe -accepteula -ma 22468 (进程有三个,经尝试,使用非SunloginService的PID值较大的那个,操作其它两个会报错)
3)用WinHex打开上面得到的内存转储文件,通过搜索 f=yahei.28 c=color_edit 进行定位,可以搜到多个(可以看到关键字是一段样式,同样样式的文本已经算少的),观察紧随其后的文本即可得到“设备代码”和“连接密码”(设备代码是9位数字,连接密码是数字字母字符串,很容易区分出来)。
