前几天发了篇向日葵和todesk提取密码的文章 有师傅反应了两个问题 第一问题就是脚本是python写的 一方面对面机器没有环境不好搞 虽然说可以拉到本地跑 但是dump下来的文件还是蛮大的 我自己dump下来的文件快600m了 第二个问题就是使用procdump64可能会引起杀软 这确实也是问题 所以更加opsec的方法就是直接打开进程暴力搜索 想到这里就索性直接写个bof也更加方便

实现原理也很简单

获取所有进程获取console的进程分别匹配向日葵和todesk进程分别打开进程申请内存然后读内存然后搜索

实现代码

auto_dump.c

gcc -c auto_dump.c -o auto_dump.o编译即可

将cna加载到cs里面 bof放到cs下 执行dump即可自动搜索并提取向日葵和todesk密码

实战效果

向日葵

todesk

公众号后台回复<dump_bof>可获取源码和编译好的脚本