1. 介绍
向日葵远程控制是一款阳光的远程控制及远程桌面产品,获得微软认证,界面友好,简单易用,安全放心,体积小巧,易快速安装使用。配合向日葵开机棒,还可支持数百台主机的远程开机,实现远程开机与控制一体化。通过向日葵,你可以在世界上任何地点、任何网络中,轻松实现手机控制手机,手机控制电脑,电脑控制电脑。
在很多场景中,拿到了Windows下的权限之后,可能由于杀软或者其他的情况下,无法登录目标PC,但是当目标的电脑中安装了向日葵的时候,可以通过读取向日葵本机识别码和验证码,直接登录。
2. 本机识别码和验证码识别
本文主要参考于
https://github.com/wafinfo/Sunflower_get_Password
向日葵配置的识别码和验证码的读取原理是根据向日葵配置文件路径,分别提取config.ini参数里面encry_pwd(本机验证码),对其中的验证码进行解密。
作者提供的方案中,老版本主要是通过配置文件路径,新版本通过查询注册表查询来实现的:
老版本通过配置文件来查询
安装版:C:\Program Files\Oray\SunLogin\SunloginClient\config.ini 便携版(绿色版):C:\ProgramData\Oray\SunloginClient\config.ini
新版本通过注册表来查询
reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginInfo reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginGreenInfo
在作者的方案中,对于老版本和新版本的向日葵两种方法都提供了解决方案,但随着向日葵的更新,目前最新版本已经无法解密,在这里我以几个不同的版本为例来分析下。
2.1 老版本向日葵(安装版)
测试版本:SunloginClient_10.3.0.27372 安装版本
测试版本:SunloginClient_11.0.0.33826_x64安装版本
这个路径的文件和作者文中的路径稍微有些不同:作者的:
C:\Program Files\Oray\SunLogin\SunloginClient\config.ini
而实际上目前我的文件在:
C:\Program Files (x86)\Oray\SunLogin\SunloginClient
所以对于老版本的话,路径应该有两种:
向日葵默认配置文件路径: 安装版64位:C:\Program Files\Oray\SunLogin\SunloginClient\config.ini 安装版32位:C:\Program Files (x86)\Oray\SunLogin\SunloginClient\config.ini
在这里读出config.ini文件:
然后使用作者的脚本来解密:
安装 pip3 install unicorn
直接运行:python3 SunDecrypt.py
此时加密之后的验证码:2EIvI9VEuOI=
认证码:583247734
此时解出来验证码为284D0Q
登录一下试试,登录成功:
2.2 次新版本向日葵
最新版向日葵已经无法通过作者的方法来获取信息,这里提供的是一个次新版,版本号不详了,本来我想着从网上找的,但是没找到,所以这里直接使用实战目标里面的截图来说明下:
次新版本向日葵目前已经无法通过默认路径的方法来获取配置信息,但是在作者的github中也说了,可以通过注册表查询的方式来获取其中的信息:
reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginInfo reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginGreenInfo
执行之后的结果:
2.3 更老的版本
在更老的向日葵版本中,可以通过查询config.ini直接获取明文的验证码
向日葵默认配置文件路径: 安装版64位:C:\Program Files\Oray\SunLogin\SunloginClient\config.ini 安装版32位:C:\Program Files (x86)\Oray\SunLogin\SunloginClient\config.ini
2.4 最新版(暂无公开方法)
目前向日葵最新版已经无法通过上述方法查到信息,在这里稍微修改之后,还是能查到加密之后的认证码和识别码:
通过注册表可以查到:
reg query HKEY_CURRENT_USER\SOFTWARE\Oray\SunLogin\SunloginClient\
C:\Users\crow>reg query HKEY_CURRENT_USER\SOFTWARE\Oray\SunLogin\SunloginClient\ HKEY_CURRENT_USER\SOFTWARE\Oray\SunLogin\SunloginClient new_clientId REG_SZ 574c0f98-63bc-474f-8e90-bb66d6577e19 secret REG_SZ 8g!4#*6bv1qiO2ydbHqx?wzKjjVxZp*$ machine_code REG_SZ hcKO8pBb5zUXwkDdxOKUICvEAJUFCPacIHMy0Al4yzkrBCtbmRk6w6tgQHJ4MWdEQUvDNPKVDFY=
但是在这里已经无法进行解密,后续如果有大佬能够研究下的话,欢迎一起学习。
