利用PCAnywhere12实现提权

[导读]PCAnywhere大家再熟悉不过的远控软件了。当我们获得WebShell之后，要做的就是提权了，若能顺利跳转到“C:\DocumentsandSettings\AllUsers\ApplicationData\Symantec\pcAnywhere”，那就可以下载CIF文件，然后利用相关工具读出密码就行了。
 

适合读者：漏洞爱好者
前置知识：无
利用PCAnywhere12实现提权
文/图人鱼姬
PCAnywhere大家再熟悉不过的远控软件了。当我们获得WebShell之后，要做的就是提权了，若能顺利跳转到“C:\DocumentsandSettings\AllUsers\ApplicationData\Symantec\pcAnywhere”，那就可以下载CIF文件，然后利用相关工具读出密码就行了。但在最近推出的PCAnywhere12中，事情就没这么简单了，其CIF文件是没法读出密码的，即便读出也是乱码，1所示。

图1
当然，Symantec修复这个问题不出我们的意料，因为这个问题已经存在几年了，不知害得多少服务器沦陷。遗憾的是，事情并没有就此结束。下面我就给大家介绍一下应对的办法。
 我这里测试的是最新的PCAnywhere12.1版，首先需要明确的是，在这个版本中，当我们创建了一个账户，就会在“C:\DocumentsandSettings\AllUsers\ApplicationData\Symantec\pcAnywhere\Hosts”下生成相关的CIF文件，而不是“C:\DocumentsandSettings\AllUsers\ApplicationData\Symantec\pcAnywhere”，假设我这里创建了admin这个账户。
 
问题就出在这里，当我在WindowsXPSP2上安装PCAnywhere12.1时，“C:\DocumentsandSettings\AllUsers\ApplicationData\Symantec\pcAnywhere\Hosts”这个目录的权限2所示，Users组可以控制这个目录。后来我又在WindowsServer2003上安装时，“C:\DocumentsandSettings\AllUsers\ApplicationData\Symantec\pcAnywhere\Hosts”这个目录的权限更加的让人震惊，3所示，everyone就可以控制这个目录。
 
 

图2
 

图3
 
众所周知，Internet来宾账户的权限是guests，这也正是ASP木马的权限，而对于ASPX木马呢？4所示，它所使用的访问账户是ASPNET。运行ASP.net的程序需要创建aspnet_wp进程。ASPNET就是用来创建这个进程的用户。也就是说，你的ASP.net程序的访问权限由ASPNET的权限来决定。这是安装.NetFramework时创建的用户，目的是使用这个权限较少的用户来执行aspnet_wp进程，以增强安全性。ASPNET隶属于Users组，5所示，所以ASPX木马的权限要比ASP木马的权限高。如果我们将事先准备好的CIF文件传到“C:\DocumentsandSettings\AllUsers\ApplicationData\Symantec\pcAnywhere\Hosts”这个目录里，就可以新建一个账户了。真让人兴奋不已！
 

图4
 

图5
 
后来我在WindowsServer2003上用Users组的账户轻松地将事先准备好的CIF文件传到了C:\DocumentsandSettings\AllUsers\ApplicationData\Symantec\pcAnywhere\Hosts中。要准备这个CIF文件很简单，只需在自己的机器上安装一个PCAnywhere，建立一个账户，在“C:\DocumentsandSettings\AllUsers\ApplicationData\Symantec\pcAnywhere\Hosts”里就可以找到相应的CIF文件，里面包含有你所设的用户名密码，我这里账户的用户名密码都是renyuji，传到别人的机器上就可以顺利登录了，6所示，这样就实现了提权。

图6

*
*