TODESK文件夹中有一个config.ini文件,这其中
clientld=设备代码
tempAuthPassEx=临时密码
设备代码是明文,临时密码是加密过的,这里其实不需要直接去破解,可以通过更换config文件的方式尝试直接替换临时密码。
注:本文所有更改config.ini文件后都需要重启todesk!
当我们把主机的tempAuthPassEx放到靶机的tempAuthPassEx,则可以发现靶机的临时密码已经变成和主机一样的临时密码了。
在连接过后会有一个登录提示,下次可以一键链接,那么我们分析一下登录后的config文件。
没登陆的:?
登陆了的:
?在之前的基础上加了又增加了几行,都是关于账号信息的由于我没有绑定手机,所以LoginPhone为空(至于LoginPhone是明文还是密文就不探究了,我用的是微信登录,本文研究的主要是渗透,暂不研究社工、钓鱼,如果感兴趣可以自己试一下,记得把结果发到评论,我估计如果是密文的话,跟临时密码是一个原理,可以试着在todesk内查看)
接下来把登录后的多加的几行复制到主机没有登录的(登陆了就覆盖)config文件,成功在主机登陆。接下来两个机器就同时登录了一个todesk账号,并且曾经连接过的设备也已经同步
就实现了靶机登录后获取到靶机的config文件在主机登录即可绕过账号密码登陆靶机的todesk账号并且控制靶机todesk账号连接过的设备,当靶机没有登录的时候,也可以通过先下载下来靶机config之后将主机的tempAuthPassEx替换成靶机的tempAuthPassEx,然后在主机重启todesk就知道了靶机的临时密码,设备代码则是config内的明文,就实现了绕过防火墙。
临时密码可以自定义,自己改完临时密码之后config文件也会一起改。?
authPassEx=后面是安全密码的加密
AuthMode=0-只使用临时密码??AuthMode=1-只使用安全密码?AuthMode=2-使用临时密码+安全密码
我在测试的时候在最后加上authPassEx=1
导致一直出现 "时间".dmp文件,并且每秒增加一个,一个约为60kb多,任务管理器CrashReport逐渐增加,也可以算一种攻击手段。
那么假如把CrashReport.exe换成木马文件再尝试呢?又是一种维权手段,todesk是带有正规签名的,通过todesk.exe调用木马CrashReport.exe有助于绕过360的启动项查杀。
?
顺带一提
autoStart=0-开机不自启动? ? autoStart=1-开机自启动
autoupdate=0-不自动更新? ??autoupdate=1-自动更新
autoLockScreen=0-不自动锁定屏幕? ??autoLockScreen=1-自动锁定屏幕
saveHistory=0-不保存历史连接密码? ??saveHistory=1-保存历史连接密码
showpass=0-临时密码不显示? ??showpass=1-临时密码不显示
loginlock=0-启动时不自动锁定? ?loginlock=1-启动时自动锁定
minsizelock=0-最小化不自动锁定? ??minsizelock=1-最小化自动锁定
filetranstip=0-文件传输不提醒? ??filetranstip=1-文件传输提醒
delWallpaper=0-远程不删除墙纸? ??delWallpaper=1-远程删除墙纸
passUpdate=0-手动更新临时密码?passUpdate=1-每日更新临时密码?passUpdate=2-每次远控后更新临时密码
autoLockScreen=0-远控结束后不自动锁定本机? ?autoLockScreen=1-远控结束后自动锁定本机
ProxyIp=IP-代理IP
ProxyPort=port-端口
ProxyUser=username-用户?
ProxyPassEx=加密后的密码-密码
ProxyConn=1-当前代理开启
ProxyConn=0-当前代理不开启这些在config文件内改了,重启todesk时也会生效。
初始config文件很小,很多选项需要在设置中调完之后才会在config文件显示 。
还有一些骚操作:上传免安装版、用vbs隐藏执行exe、cs截图获取临时密码再登录、钓鱼利用免安装版自解压配合vbs隐藏使用。
温馨提示:可以使用老版本继续探究,本文使用的版本为4.2.6安装版。
不常写博客,有缺漏还请大佬指出。