提权学习:第三方软件提权(PcAnywhere 提权)5631
当你的才华
还撑不起你的野心时
那你就应该静下心来学习
目录
第三方软件提权
PcAnywhere 提权
0x01 介绍
0x02 原理
0x03 前言
0x04 思路:
0x05 操作步骤演示:
0x06 说一点题外话:
第三方软件提权
PcAnywhere 提权
0x01 介绍
PcAnywhere是一款远程控制软件,PcAnywhere的出现是为了方便网管人员管理服务器。安装之后默认监听“5631端口”。它可以将电脑当成主控端去控制远方的另外一台同样安装有PcAnyWhere的电脑(被控端),实现互传文件,内建FIPS 140-2验证AES 256位元加密,可以确保阶段作业的安全性。
0x02 原理
PcAnywhere提权主要是为了PcAnywhere的一个特点,那就是建立被控端后,会在服务器上产生一个配置文件“PCA.*.CIF”,这个文件所在的目录并非在安装目录中,而是在“C:\Document and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts”中。
在配置文件中保存着加密后的连接账户信息,当攻击者下载到这个文件后,就可以对这个文件解密,有一款专门的破解软件名为PCAnywhere PassView
0x03 前言
在早期的入侵提权中,我们经常可以看到使用利用安装PcAnywhere的服务器下载cif文件,然后使用明小子或者其他专用的密码读取工具进行读取控制密码的提权方法。这个应该算是PcAnywhere的一个硬伤了。而通常这个文件存在的目录是“C:Documents and SettingsAll Users
而通常这个文件存在的目录是“C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere”guest权限对该目录是具有访问权限的。所以就可以下载cif配置文件进行读取,然后本地连接进行提权。
但是这一方法在最新的12.1版本中,已经不可以了。我们再去下载该cif文件,用密码读取工具是读不到密码的,即使可以读得到,也是乱码。
但是通过浏览安装目录,我们可以发现。在PcAnywhere的“C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere”路径下,会有一个名称为“Hosts”的文件夹。在这个里面同样存储了一个cif文件。
我们就是通过本地配置一个可控的服务端,然后在本地生成这样一个cif文件,然后将他覆盖保存于网站服务器的目录下,就可以使用本地的密码进行连接了。可喜的是,默认安装状态下,Windows2003中这个目录是Everyone具有完全控制权限的!这就为我们的提全铺平了最后一条路!
最后一点需要提到的就是,大家在入侵提权前,一定要下载保存原网站的cif文件。然后在上传覆盖本地的,入侵成功后留下后门在替换回来,以免被管理员发现。
0x04 思路:
一台服务器在安装后,往往是处在机房,或者办公室等较为封闭的环境中,那么管理员接触到服务器也不是很方便的,为了方便的维护,管理,监视服务器的状态,很多服务器上除了提供正常应用服务的程序之外,还装有方便管理员去管理服务器的管理软件。
这里我们的提权就有了一个新的思路,能否让这些管理软件“为我所用”,让我在远程能够像管理员一样利用它们来操作服务器呢?
如此一来,我便成了管理员,能进行各种操作。PcAnywhere就是一款用得很多的远程管理软件,他有一个重大漏洞是保存远程管理员帐号的CIF文件密码,是可以被轻易解密的,如果我们拿到一台主机的WEBSEHLL。
通过查找发现其上安装有PcAnywhere 同时保存密码文件的目录是允许我们的IUSER权限访问,我们可以下载这个CIF文件到本地破解,再通过PcAnywhere从本机登陆服务器。思路简单而明确。
0x05 操作步骤演示:
pcanywhere提权:(默认端口5631,5632)一般下载安装根目录下的hosts文件夹下的PCA.admin.CIF文件,然后使用pcanywhere破解.exe可执行程序读取其用户名和密码,然后即可进行连接远控。
PS(特别注意):
1. 利用pcAnywhere提权,前提条件是pcAnywhere默认安装到默认路径,以及它的目录安全权限有users权限,如果管理员删除了users和power users用户的目录权限,只剩下administer和system用户目录权限,则无法提权
2. 在webshll的大马中查找到pcanywhere目录里的host目录,里面的cif文件保存了连接pcanywhere的账户和密码,然后下载下来,通过PcAnywhere密码破解工具进行破解密码,然后再自己的电脑上安装pcanywhere,然后通过连接到另一台电脑进行远程桌面连接
0. 前提条件是已获得WebShell,并且该受害者服务器是安装了PcAnywhere 。
首先点击PcAnywhere
1. 然后点击host 这个安装目录
2. PcAnywhere的“C:\Documents and Settings\All Users\Application Data\Symantec\pcAnywhere”路径下,会有一个名称为“Hosts”的文件夹。在这个里面可以看到存储了一个cif文件
3. 下载PCA.sever.CIF 文件
4. 使用Symantec PcAnyWhere PassWord Crack 工具破解CIF文件存储的账号和密码
注:一款专门的破解软件名为PCAnywhere PassView
5. 破解成功后,我们通过PcAnyWhere 去连接哈,看看能不能连接上
这个里根据需要来配置。在本步骤我们选择第一个选项,连接到我们刚刚破解受害者主机的PcAnyWhere 来控制服务器
输入受害者主机IP地址,点击下一步,然后一直傻瓜式点下一步,就OJBK
会打开一个远程控制窗口,输入刚刚破解的账号和密码,成功连接上受害者主机。
0x06 说一点题外话:
就是不一定非要大马,也可以先上传一句话木马,用菜刀连接成功后进入C:\Document and Settings\All Users\Application Data\Symantec\pcAnywhere\Hosts\下,下载文件PCA.sever.CIF 文件。
下载.CIF格式的文件后,用工具破解密码。可以使用PCAnywhere PassView、明小子、通天门来对该文件进行解密,获得最后的用户名与密码,之后在本地创建PcAnyWhere的控制端进行连接即可!
寻找到配置文件信息,或者说找到软件的管理员信息,就可以通过软件管理员身份进行提权。
可以通过Hydra和medusa进行暴力破解,其中medusa的命令类似如下:
medusa -h IP地址 -u administrator -p 98476swr -e ns -M pcanyhwere参考链接:
https://blog.51cto.com/obnus/468952
http://www.lingchenliang.com/post/1853.html
https://www.cnblogs.com/feizianquan/p/10891978.html
我不需要自由,只想背着她的梦
一步步向前走,她给的永远不重
提权学习:第三方软件提权(PcAnywhere 提权)5631相关推荐
- Day10——提权学习之第三方软件FlashFXP及pcAnywhere提权
0x00 FlashFXP提权 1.FlashFXP简介 FlashFXP是一款功能强大的FXP/FTP软件,集成了其它优秀的FTP软件的优点,如CuteFTP的目录比较,支持彩色文字显示:如BpFT ...
- 提权学习:Linux普通用户提权为root
当你的才华 还撑不起你的野心时 那你就应该静下心来学习 目录 Linux普通用户提权为root 接下来直接看实例 Linux普通用户提权为root 我记得我以前用Linux的时候,忘记root密码是常 ...
- 提权学习之旅——Linux操作系统提权
首发于先知社区 https://xz.aliyun.com/t/8139 前言: 上次学习了Windows操作系统的提权以及相关工具的利用,这次就来学习一下Linux操作系统的提权 Linux提权基础 ...
- 提权学习之旅——利用Metasploit提权
Metasploit基础 0x00:简介 Metasploit是一个漏洞利用框架,简称msf.是一个免费的.可下载的框架,通过它可以很容易地获取.开发并对计算机软件漏洞实施攻击,,而且本身附带数百个已 ...
- 提权学习:第三方软件提权(Server-u 提权)43958
当你的才华 还撑不起你的野心时 那你就应该静下心来学习 第三方软件提权 Server-u 提权 Serv-U FTP Server,是一种被广泛运用的FTP服务器端软件,支持3x/9x/ME/NT/2 ...
- 提权学习:第三方软件提权(破解hash 提权、MFS 破解hash 提权、GetPass 破解hash提权、QuarksPwDump 破解hash提权)
当你的才华 还撑不起你的野心时 那你就应该静下心来学习 目录 破解hash 值提权 0x01 Pwdunp7 破解hash 0x02 GetPass 破解hash 0x03 hash传递入侵 MSF加 ...
- Day1——提权学习之提权基础
0x00 提权技术分类 大概分为三种: 1.系统溢出漏洞提权 2.数据库提权 3.第三方软件提权 0x01 通常脚本所处的权限 1.asp / php 匿名权限(网络服务权限) 2.aspx user ...
- 提权系列(一)----Windows Service 服务器提权初识与exp提权,mysql提权
一.初识提权 很多时候我们入侵一个网站的时候,想要的是得到这个服务器的权限,也就是admin权限,但是一般默认得到的是普通用的地权限,权限很小,所以就要通过其他手段,提升自己的权限. 提权是将服务器的 ...
- (59.2)【Windows提权】权限等级、PSTools提权、at命令提权、sc命令提权
目录 一.权限分配 1.1.Windows: 1.2.Linux 二.PSTools提权 2.1.简介: 2.2.微软官网: 2.3.PsExec提权: 三.at命令提权 3.1.原理: 3.2.适用 ...
最新文章
- 40个有创意的jQuery图片和内容滑动及弹出插件收藏集之三
- mysql 查询 字段是否为空
- git push时提示:更新被拒绝,因为您当前分支的最新提交落后于其对应的远程分支
- jQuery1.9+中删除了live以后的替代方法
- 设计模式--责任链(Responsibility_Chain)模式
- webmagic 获取文本_学习使用Java的webmagic框架爬取网页内容
- java宏定义_现代化的 Java (二十六)—— Akka Stream Graph
- 80486微型计算机的字长,80486,80586等是什么样的电脑?
- Selenium WebDriver- actionchians模拟鼠标悬停操作
- Linux基础学习十:Linux的权限管理
- 深度学习aps_深度学习的目标检测算法是如何解决尺度问题的?
- VMWARE:NAT模式连接外网
- SVN客户端安装使用教程
- 【STM32】Keil v5下载与安装
- 指派问题中匈牙利算法----Python实现
- CodeForces - 1384
- 猿人学第5题,hook任意cookie被设置的瞬间
- linux显卡驱动与opengl,NVIDIA率先发布OpenGL 3.0 Linux驱动
- python中function takes exactly_Python 'takes exactly 1 argument (2 given)' Python error
- (更新时间)2021年5月11日 MongoDB数据库 MongoDB面试题