7.1 pcAnywhere账号和口令的破解

通过一些攻击方法和手段取得了远程计算机的控制权后,可以利用其他远程控制软件查找系统中的CIF文件,通过破解CIF文件获取pcAnywhere的账号和密码,进而通过pcAnywhere客户端对远程主机进行完全控制等操作。pcAnywhere是一款比较流行的远程控制软件,其控制原理与Radmin等远程控制软件类似,需要账号和口令。不同的用户会根据个人喜好选择不同的远程管理软件,在很多情况下,管理员可能使用某一款远程管理软件管理多台计算机,根据其口令进行猜测或者安装键盘嗅探软件获取口令等信息可以渗透其内网和外网计算机。

7.1.1 在本地查看远程计算机是否开放了5631端口

pcAnywhere默认的开放端口为5631。在DOS提示符下输入“sfind -p *.*.*.19”命令查看该IP地址的端口开放情况,结果表明该计算机开放了5631端口,也就是说,该计算机使用pcAnywhere软件作为远程控制软件的服务端,如图7-1所示。

0255-1

图7-1 查看远程主机是否开放了5631端口

7.1.2 查找pcAnywhere账号和密码文件

通过各种攻击方法和手段成功控制该计算机以后,在其Shell或Telnet中查找pcAnywhere的账号和密码文件。pcAnywhere的账号和密码保存在一个后缀为“.cif”的文件中,在系统目录中输入命令“dir *.cif /s”,查找系统磁盘中的所有CIF文件。在本例中找到两个CIF文件,如图7-2所示,第一个文件是保存pcAnywhere账号和密码的文件,第二个是无用文件。

0256-1

图7-2 查找pcAnywhere账号和密码文件

7.1.3 将CIF加密文件传输到本地并进行破解

在本例中,使用Radmin的文件传输功能将文件传输到本地,然后通过pcAnywherePWD进行破解。直接运行pcAnywherePWD,在“文件”对话框中选择刚传输回来的CIF文件,单击“解密”按钮,其账号和密码就显示出来了,如图7-3所示。

0256-2

图7-3 破解pcAnywhere的账号和密码

7.1.4 连接pcAnywhere服务端

pcAnywhere的安装比较简单。安装完毕后,直接运行pcAnywhere软件,在新建连接向导中输入IP地址“*.*.*.19”,并单击“完成”按钮,双击“*.*.*.19”地址所对应的标签,根据网络情况,很快就会出现pcAnywhere的服务端,要求输入用户名和密码,验证正确后可以进行完全控制等操作。如图7-4所示,通过pcAnywhere客户端对pcAnywhere服务端的操作就像对本地计算机操作一样方便。

0257-1

图7-4 连接pcAnywhere服务端

注意

(1)通过pcAnywhere远程控制他人计算机时,该远程控制软件在完全控制模式下鼠标和屏幕是同步的,也就是说,如果用户正在使用远程肉机,那么他会感觉到有人在操作其鼠标和屏幕。所以,远程控制时攻击者的操作速度很快,且会选择用户没有使用该计算机(肉机)时进行操作。

(2)攻击者拥有远程计算机(肉机)的pcAnywhere账号和口令后,如果用户没有更改用户名和密码,则相当于拥有一个不被查杀的后门。