如何获取Todesk客户端的手机号与邮箱账号
简介
现在Todesk提供两个版本,一个正式版,一个精简版(只支持被远程连接,不允许主动远控)
这里咱们主要看正式版的(主要是精简版暂时好像没有看见配置文件在什么地方~~~)
默认安装路径如下
C:Program Files (x86)ToDeskconfig.ini
正常安装之后,这里提示需要登录才可以进行远控
这里可以看到手机号和邮箱登录,咱们进行测试登录,然后查看配置文件是否会加密存储
查看配置文件,可以发现存在字段:LoginPhone、LoginEmail,并且都是明文存储
溯源小技巧
既然Todesk客户端是明文存储用户账号的,这里咱们不管存储的是电话号码,还是邮箱,只要获取任何一个,咱们不就可以开始溯源啦
首先咱们先获取Todesk的安装地址,这里使用注册表进行查询,可以使用以下三条命令,都可以获取到安装路径
sc qc ToDesk_Service reg query HKEY_CLASSES_ROOTToDeskshellopencommand reg query HKLMSYSTEMCurrentControlSetServicesToDesk_Service
知道路径,咱们直接读取配置文件config.ini即可
知道方法了,咱们再考虑一下什么场合比较适合实用这个
利用蜜罐技术反制红队攻击手,拿到攻击手权限之后,溯源的时候可以考虑
打击BC或者QB一类的站点时,利用钓鱼拿到客服机器之后,进行溯源取证的时候可以考虑
总结
利用这个方法进行溯源的前提是,咱们可以获取对方的权限,可以是webshell,或者直接命令执行等,这些都可以
充分考虑对方的环境,然后平时咱们就想想什么软件可能会有什么信息存储,这些在渗透测试的过程中都是很有用的,很多都是一些小细节。
现在Todesk提供两个版本,一个正式版,一个精简版(只支持被远程连接,不允许主动远控)
这里咱们主要看正式版的(主要是精简版暂时好像没有看见配置文件在什么地方~~~)
默认安装路径如下
C:Program Files (x86)ToDeskconfig.ini
正常安装之后,这里提示需要登录才可以进行远控
这里可以看到手机号和邮箱登录,咱们进行测试登录,然后查看配置文件是否会加密存储
查看配置文件,可以发现存在字段:LoginPhone、LoginEmail,并且都是明文存储
溯源小技巧
既然Todesk客户端是明文存储用户账号的,这里咱们不管存储的是电话号码,还是邮箱,只要获取任何一个,咱们不就可以开始溯源啦
首先咱们先获取Todesk的安装地址,这里使用注册表进行查询,可以使用以下三条命令,都可以获取到安装路径
sc qc ToDesk_Service reg query HKEY_CLASSES_ROOTToDeskshellopencommand reg query HKLMSYSTEMCurrentControlSetServicesToDesk_Service
知道路径,咱们直接读取配置文件config.ini即可
知道方法了,咱们再考虑一下什么场合比较适合实用这个
利用蜜罐技术反制红队攻击手,拿到攻击手权限之后,溯源的时候可以考虑
打击BC或者QB一类的站点时,利用钓鱼拿到客服机器之后,进行溯源取证的时候可以考虑
总结
利用这个方法进行溯源的前提是,咱们可以获取对方的权限,可以是webshell,或者直接命令执行等,这些都可以
充分考虑对方的环境,然后平时咱们就想想什么软件可能会有什么信息存储,这些在渗透测试的过程中都是很有用的,很多都是一些小细节。
