pcanywhere：提权学习：第三方软件提权（PcAnywhere 提权）5631

当你的才华

还撑不起你的野心时

那你就应该静下心来学习

目录

第三方软件提权

PcAnywhere 提权

0x01 介绍

0x02 原理

0x03 前言

0x04 思路：

0x05 操作步骤演示：

0x06 说一点题外话：

第三方软件提权

PcAnywhere 提权

0x01 介绍

      PcAnywhere是一款远程控制软件，PcAnywhere的出现是为了方便网管人员管理服务器。安装之后默认监听“5631端口”。它可以将电脑当成主控端去控制远方的另外一台同样安装有PcAnyWhere的电脑（被控端），实现互传文件，内建FIPS 140-2验证AES 256位元加密，可以确保阶段作业的安全性。

0x02 原理

      PcAnywhere提权主要是为了PcAnywhere的一个特点，那就是建立被控端后，会在服务器上产生一个配置文件“PCA.*.CIF”，这个文件所在的目录并非在安装目录中，而是在“C:\Document and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts”中。
      在配置文件中保存着加密后的连接账户信息，当攻击者下载到这个文件后，就可以对这个文件解密，有一款专门的破解软件名为PCAnywhere PassView

0x03 前言

      在早期的入侵提权中，我们经常可以看到使用利用安装PcAnywhere的服务器下载cif文件，然后使用明小子或者其他专用的密码读取工具进行读取控制密码的提权方法。这个应该算是PcAnywhere的一个硬伤了。而通常这个文件存在的目录是“C:Documents and SettingsAll Users

      而通常这个文件存在的目录是“C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere”guest权限对该目录是具有访问权限的。所以就可以下载cif配置文件进行读取，然后本地连接进行提权。
      但是这一方法在最新的12.1版本中，已经不可以了。我们再去下载该cif文件，用密码读取工具是读不到密码的，即使可以读得到，也是乱码。

      但是通过浏览安装目录，我们可以发现。在PcAnywhere的“C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere”路径下，会有一个名称为“Hosts”的文件夹。在这个里面同样存储了一个cif文件。

      我们就是通过本地配置一个可控的服务端，然后在本地生成这样一个cif文件，然后将他覆盖保存于网站服务器的目录下，就可以使用本地的密码进行连接了。可喜的是，默认安装状态下，Windows2003中这个目录是Everyone具有完全控制权限的！这就为我们的提全铺平了最后一条路！
      最后一点需要提到的就是，大家在入侵提权前，一定要下载保存原网站的cif文件。然后在上传覆盖本地的，入侵成功后留下后门在替换回来，以免被管理员发现。 

0x04 思路：

      一台服务器在安装后，往往是处在机房，或者办公室等较为封闭的环境中，那么管理员接触到服务器也不是很方便的，为了方便的维护，管理，监视服务器的状态，很多服务器上除了提供正常应用服务的程序之外，还装有方便管理员去管理服务器的管理软件。

      这里我们的提权就有了一个新的思路，能否让这些管理软件“为我所用”，让我在远程能够像管理员一样利用它们来操作服务器呢？

      如此一来，我便成了管理员，能进行各种操作。PcAnywhere就是一款用得很多的远程管理软件，他有一个重大漏洞是保存远程管理员帐号的CIF文件密码，是可以被轻易解密的，如果我们拿到一台主机的WEBSEHLL。

      通过查找发现其上安装有PcAnywhere 同时保存密码文件的目录是允许我们的IUSER权限访问，我们可以下载这个CIF文件到本地破解，再通过PcAnywhere从本机登陆服务器。思路简单而明确。

0x05 操作步骤演示：

pcanywhere提权：（默认端口5631,5632）一般下载安装根目录下的hosts文件夹下的PCA.admin.CIF文件，然后使用pcanywhere破解.exe可执行程序读取其用户名和密码，然后即可进行连接远控。

PS（特别注意）：

1. 利用pcAnywhere提权，前提条件是pcAnywhere默认安装到默认路径，以及它的目录安全权限有users权限,如果管理员删除了users和power users用户的目录权限，只剩下administer和system用户目录权限，则无法提权
2. 在webshll的大马中查找到pcanywhere目录里的host目录，里面的cif文件保存了连接pcanywhere的账户和密码，然后下载下来，通过PcAnywhere密码破解工具进行破解密码，然后再自己的电脑上安装pcanywhere，然后通过连接到另一台电脑进行远程桌面连接

0.前提条件是已获得WebShell，并且该受害者服务器是安装了PcAnywhere 。

首先点击PcAnywhere

1.然后点击host 这个安装目录

2. PcAnywhere的“C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere”路径下，会有一个名称为“Hosts”的文件夹。在这个里面可以看到存储了一个cif文件

3.下载PCA.sever.CIF 文件

4.使用Symantec PcAnyWhere PassWord Crack 工具破解CIF文件存储的账号和密码

注：一款专门的破解软件名为PCAnywhere PassView

5.破解成功后，我们通过PcAnyWhere 去连接哈，看看能不能连接上

这个里根据需要来配置。在本步骤我们选择第一个选项，连接到我们刚刚破解受害者主机的PcAnyWhere 来控制服务器

输入受害者主机IP地址，点击下一步，然后一直傻瓜式点下一步，就OJBK

会打开一个远程控制窗口，输入刚刚破解的账号和密码，成功连接上受害者主机。

0x06 说一点题外话：

      就是不一定非要大马，也可以先上传一句话木马，用菜刀连接成功后进入C:\Document and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts\下，下载文件PCA.sever.CIF 文件。

      下载.CIF格式的文件后，用工具破解密码。可以使用PCAnywhere PassView、明小子、通天门来对该文件进行解密，获得最后的用户名与密码，之后在本地创建PcAnyWhere的控制端进行连接即可！

      寻找到配置文件信息，或者说找到软件的管理员信息，就可以通过软件管理员身份进行提权。

      可以通过Hydra和medusa进行暴力破解，其中medusa的命令类似如下：

参考链接：

                 https://blog.51cto.com/obnus/468952

                 http://www.lingchenliang.com/post/1853.html

                 https://www.cnblogs.com/feizianquan/p/10891978.html

我不需要自由，只想背着她的梦

一步步向前走，她给的永远不重