通过向日葵远控从任意文件读取到获取计算机系统权限

0x00

事情要从最近发生的一些安全事件说起。

最近TeamViewer的事闹的挺火的,起因是FireEye的一个分析APT41的PPT中提到了TeamViewer在2016年的一起事件,这张PPT被拍了下来发到了Twitter上。其实本来没什么事,首先,16年TV的那个事件也只是报纸报道,没有证据表明TV的数据收到了影响,而且,现在都9102年了,而且火眼的报告只是说了一下过去的事情来说自己多牛逼的(他说APT41是中国的,暗示中国搞过TeamViewer)。结果,深圳网警就根据这张什么都无法证明的图发了个TeamViewer被境外黑客APT41攻破有危险的公告微博,然后国内就炸了,各大公司单位纷纷禁用TeamViewer,然后深圳网警就把之前发的公告微博给删了(令人窒息的操作)。真实的开局一张图,内容全靠编系列。(TeamViewer官方和Twitter上发原图的大哥都做了澄清,TV没问题)

没有TeamViewer那用什么的。很多人就想到了国产远控向日葵,这篇文章就说一下向日葵目前存在的安全隐患。

0x01

首先,我不是做二进制的,向日葵软件本身代码是否安全我不做评价,但是我发现它的软件设计存在问题。

一句话概括,就是向日葵远控配置文件包含敏感信息。

(文中测试的向日葵是最新版)

我们看一下向日葵远控的配置文件(具体的值全删掉了)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
[base]
installautorun=
no_window_user_pwd=
config_path=
tracksvr=
macaddress=
password=
has_uu=
showupdatetip=
language=
hostname=
hostdesc=
first_run=
lastview=
open_eyes=
screenshots_path=
level=
levelname=
levelchanel=
istransfer=
ismessage=
expires=
skin=
sunlogincode=
isfastcodelogin=
logintype=
license=
licensepsw=
fastcode=
fastcodepsw=
sunloginserver=
slapiserver=
remoteid=
account=

……

这不是很明显有问题吗?配置文件太详细了。

配置文件就在向日葵的安装目录下,文件名是config.ini。就说两个最关键的配置:passwordfastcode。这两个有多重要的,你只要知道这两个的值,如果对方的向日葵开着,你就可以直接登录上去。

0x02

试一下另一个软件缺陷,就是文件查找神器EveryThing

everything是一款非常优秀的文件查找工具,它有一个功能是搭建服务器,把文件系统索引放到服务器上。问题就是这里,他没有robots.txt文件,这就导致谷歌等搜索爬虫会爬取到开了这一功能的文件系统,相当于一个任意文件读取。

0x03

后面就很简单了。在谷歌上搜到一个文件系统或者网站应用程序存在任意文件读取的漏洞,看看也没有装向日葵,读一下配置文件,如果他向日葵在线就可以直接登录了。

由于我国国情,很多人并没有独立的IP,所以谷歌能搜到的大多数都是服务器,这就很刺激了,对吧。

后面就不说了。

0x04

本文只做一个新思路的分享,参考网络安全法,任何的渗透测试都需要授权。请遵纪守法。

0%