ToDesk软件在权限提升中的应用

简介: ToDesk软件在权限提升中的应用

0x01 前言

ToDesk是一款类似向日葵的远程控制软件,但比向日葵、TV和AD更为流畅和稳定,它同样也具备着内网穿透、文件传输、云端同步和流量加密等功能,有绿色精简版和全功能版两个版本。

这里我就不再做过多介绍了,详情可通过ToDesk官网自行了解:https://www.todesk.com

0x02 信息搜集

    操作系统:Windows Server 2008 R2 x64
    软件版本:ToDesk 3.0.1.0(精简版和全功能版)
    精简版默认安装路径:%userprofile%\AppData\Local\ToDesk
    全功能版默认安装路径:C:\Program Files (x86)\ToDesk\
    ToDesk进程名:ToDesk_Lite.exe、ToDesk_Service.exe、ToDesk.exe
    ToDesk服务名:ToDesk_Service
    ToDesk端口号:35600


    0x03 场景1:安装版低权限下的利用

    已经拿到目标主机Webshell,而且还是Administrator管理员权限,但由于存在杀软或WAF拦截了添加管理员用户、3389远程桌面连接、也查杀了我们传的木马和抓明文哈希等工具。

    在前期的信息搜集中发现进程列表中有个ToDesk_Lite.exe进程,这是ToDesk绿色精简版,由于之前有测试过这个,所以知道配置文件路径。

      %userprofile%\AppData\Local\ToDesk

      我们在上图中可以看到有个config.ini配置文件,它存储着ToDesk远程控制软件中的各项设置,包括有显示语言、设备代码、临时密码、开机自启等,全功能版中的常见设置说明可见下表。

      但这精简版的config.ini配置文件中只有显示语言、临时密码、密码更新时间和开机自启。


      目前有两个问题:1. 没有设备代码,2. 密码不能解密,那么要怎么连接呢?

        [ConfigInfo]
        language=936
        tempAuthPassEx=6ca3ab52e01cfd45cbb306f3765b5bfddf0f7a15b7877309443af14ab699b21e22680011ee2******
        updatePassTime=20210529
        autoStart=0


        ① 没有找到设备代码。

        这个我在测试时发现在以下路径中还有一个config.ini配置文件,它存储着本地端口、设备代码和私有数据,一般存在于SysWOW64目录下,默认只有Administrators、SYSTEM具备完全控制权限,所以绿色精简版只有在高权限下才能利用。

          C:\Windows\System32\config\systemprofile\AppData\Local\ToDesk\config.ini
          C:\Windows\SysWOW64\config\systemprofile\AppData\Local\ToDesk\config.ini

          ② 临时密码不能解密。

          这里我们可以将目标主机tempAuthPassEx替换到本机tempAuthPassEx,重新运行ToDesk软件后即可得到他的明文密码;


          或者直接将我们本机tempAuthPassEx替换到目标主机tempAuthPassEx,然后用本机临时密码去连接即可,这种方式需要结束ToDesk进程后重启才会生效,比较被动。

          0x04 场景2:安装版低权限下的利用

          已经拿到目标主机Webshell,但只是一个Users低权限用户,还需要进行权限提升。在前期信息搜集中通过翻找磁盘文件或查看进程发现安装的有ToDesk全功能版。


          我们再用icacls命令来看下ToDesk全功能版的默认安装目录权限如何?这里可以看到ToDesk这款软件的缺陷就是在默认安装状态下就已经具备了Users的完全控制权限。

          ToDesk安装路径下同样有config.ini配置文件,可以看到存储的有设备代码、临时密码、安全密码以及登录用户和密码等重要敏感信息,可参考场景1的常见设置说明表。


          [ConfigInfo]
          localPort=35600
          clientId=636938855
          PrivateData=b0ceea6d978c590e2684627f2394731bced2cf45d6fc92a5208d7a5c9f688ebbb2f840e65e546c2a8968063937156a58fd5f4b4dbfde8ff61f
          language=936
          tempAuthPassEx=beba9584fe8d1ef3082cb4d86a5d0bd0586a3aa4d2ce9af3dca455cacf9e115421cdbfaf8fa8267bac392c4cd7507f2ecc7ab6b9361f
          updatePassTime=20210626
          saveUserPass=1
          autoLogin=1
          user=493***344@qq.com
          passex=cafe2d34f80a85d94f45755df94c5705b55406e89451f1056712bb8b16ecf49bcf2813474158ce4526d2c75928b6516c0315cb339c83fc485d9b34ad
          authPassEx=e760f849eae5ea763d80068c2fda1632f9cabd26828d8bf1112561e62c0ae7e9bcef518eaa989de00716121ed94618c2360ee81bfc87

          我们在上图中可以看到他的ToDesk远控软件已经设置了“临时密码和安全密码都可以使用”,也就是说只需拿tempAuthPassEx或authPassEx在我们本地ToDesk配置文件中替换到tempAuthPassEx,然后重新运行ToDesk软件后即可得到他的明文密码。


          也可以使用ToDesk.exe命令行参数中的-getid获取设备代码,-setpasswd设置安全密码等,但是这种方式需要重启ToDesk,可以再给他设置个开机自启什么的。


          我们还可以在ToDesk的配置文件给他设置个自动更新,然后替换掉安装目录下的ToDeskUpd.exe更新程序来进行被动提权和权限维持。

          只要运行ToDesk就会以SYSTEM权限去执行ToDeskUpd.exe,这样就能得到目标主机SYSTEM权限,越深入好玩的姿势越多,还是自己去研究一下吧。

          注:笔者只是为写这篇文章在本地模拟了两个场景,但大家在实战中如果遇到类似场景时当然也可以用免杀、绕过或其他方式进行测试,条条大路通“罗马”嘛,思路不要过于局限了,根据个人习惯,怎么方便怎么来,请不要做一个杠精!!!


          0x05 注意事项

          千万不要去尝试拷贝user、passex、autoLogin登录他的ToDesk,因为在新设备登录时会提示为第一次登录,并且官方会给注册邮箱或手机号发送一条验证信息

          收到的ToDesk新设备登录授权邮件中详细记录了登录新设备的设备代码、名称、时间、IP地址以及地理位置等信息,必须点击允许以后才可以正常登录,一定注意!!!


          一个小BUG:

          ToDesk有个和向日葵一样的通病,就是在连接上另一台主机后可能会使用不了复制粘贴,或者是存在冲突导致粘贴到对方拷贝的内容等问题。


          向日葵可以按两次Ctrl键后再进行复制粘贴,而ToDesk则需要使用右边的Ctrl键进行复制粘贴。

          相关文章
          |
          存储 监控 安全
          通过上网行为管理软件实现企业重要资料的优盘权限控制
          在当今数字化时代,企业面临着越来越多的数据安全挑战。为了保护敏感信息和重要资料,许多企业采取了各种措施,其中之一是通过WorkWin上网行为管理软件禁止使用优盘并设置优盘白名单。今天就让我们来探讨为何企业有必要采取这一措施,以及如何借助WorkWin的功能来强化数据安全,并通过外泄重要资料的实例来强调这一重要性。
          211 0
          |
          Ubuntu Linux 网络安全
          使用Kali Linux虚拟机破解WiFi密码的一波三折及详细操作步骤
          使用Kali Linux虚拟机破解WiFi密码的一波三折及详细操作步骤
          2754 0
          使用Kali Linux虚拟机破解WiFi密码的一波三折及详细操作步骤
          |
          安全 Linux 数据安全/隐私保护
          国内外四款强大的远控使用体验:ToDesk、向日葵、AnyDesk、Microsoft 远程桌面横向比较
          国内外四款强大的远控使用体验:ToDesk、向日葵、AnyDesk、Microsoft 远程桌面横向比较
          1330 0
          |
          6月前
          |
          弹性计算 安全 PHP
          【权限提升】利用第三方应用Teamviewer&向日葵&Navivat-凭据
          【权限提升】利用第三方应用Teamviewer&向日葵&Navivat-凭据
          |
          监控 安全 网络安全
          远程控制软件安全吗?一文看懂ToDesk、RayLink、TeamViewer、Splashtop相关安全机制
          远程控制软件安全吗?一文看懂ToDesk、RayLink、TeamViewer、Splashtop相关安全机制
          3280 0
          |
          7月前
          |
          编解码 安全 数据安全/隐私保护
          速度与稳定性的完美结合:深入横测ToDesk、TeamViewer和AnyDesk
          远程办公是指通过现代互联网技术,实现非本地办公:在家办公、异地办公、移动办公等远程办公模式。多数通过第三方远程控制软件来实现,例如通过远程手机/电脑远程控制办公设备进行工作或者会议,实现远程办公的目的。
          841 0
          速度与稳定性的完美结合:深入横测ToDesk、TeamViewer和AnyDesk
          |
          监控 安全 算法
          安全远控如何设置?揭秘ToDesk、TeamViewer 、向日葵安全远程防御大招
          本文我将测试 ToDesk、TeamViewer、向日葵这三款远程控制软件,通过实际操作来对比三款软件的安全性,并给出自己的使用建议。
          525 1
          安全远控如何设置?揭秘ToDesk、TeamViewer 、向日葵安全远程防御大招
          |
          安全 Shell 网络安全
          【网络安全】护网系列-windows权限维持
          【网络安全】护网系列-windows权限维持
          188 0
          liunx用户和权限
          liunx用户和权限