攻防后渗透-远程工具密码最新读取方式

文章预览

原文首发在：先知社区 https://xz.aliyun.com/t/15384 ‍ ‍ ‍ 思路 新版本的某desk和某葵已经无法从配置文件获取密码，而且常规的替换手法也已经失效通过学习yangliukk师傅分享的思路，搞了个CMD下从内存获取密码的工具 首先获取对应进程的pid，选择为console的进程 tasklist | find /i "todesk" 然后对指定pid的内存进行dump出来，使用二进制工具进行分析，就可以找到相关的密码 但是dump出来的文件大小都在几百M或者1G以上，就想着实现自动化分析处理 提取特征-某desk 某desk 像ID、手机号、版本之类的信息可以通过读取配置文件来解决，不需要去内存中检索获取pid的文件路径 execPath , err := getExecutablePath ( int ( * pid )) if err != nil { fmt . Printf ( "无法获取PID %d的可执行文件路径: %v\n" , * pid , err ) return } 获取配置文件信息 // 获取目录路径 dir := filepath ………………………………