20240910
昨天公众号突然发文todesk可以直接找到账号密码通过dump内存,于是赶紧去试了一下。
原文:
GitHub - yangliukk/FindToDeskPass: 通过Dump内存读取ToDesk设备代码、连接密码
在运行了todesk后直接使用procdunmp将进程dump下来然后可以查找到账号密码
复现
首先下载官网最新的版本4.7.4.8
正常默认安装后用自己的电脑先连接一次
然后查看一下进程 tasklist /svc
不过有两个todesk的进程
选择没有todesk_service的那个PID,这里就是6540
然后利用procdump将内存dump
procdump64.exe -accepteula -ma 6540
然后使用010 editor打开生成的文件
使用ascii搜索当前的日期
找到一个长度为14位的字符串,该字符串规律:当前日期+重置密码次数(随机值累加)
设备代码紧跟着这串长度14的字符串,图中也就是500291xxx
连接密码在上方约224个字节位置。此处为9v5gk7j8
原文中说不同的版本可能位置不同但都可以找到,连设置了安全密码也可以找到
只能说老哥们太强了,这都能找到账号密码😂