Radmin 是一款很不錯的服務器管理
無論是 遠程桌面控制 還是 文件傳輸
速度都很快 很方便
這樣也形成了 很多服務器都裝了 radmin這樣的
現在你說 4899默認端口 沒密碼的 服務器你上哪找?
大家都知道radmin的密碼都是32位md5加密后
存放在注冊表里的
具體的表鍵值為 HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters\

那在攻陷一臺web服務器時 大家 怎么能進一步提權?
如果你說 暴力破解 radmin 密碼 呵呵 那也行
只不過 你要有足夠的時間 跟精力
我想很少人 花上幾星期 幾月 甚至幾年 去破解那個密碼
http://amxking.bokee.com
呵呵 本人最近在朋友哪得到一資料
就是如何 不需要破解 Radmin的密碼 就可以進入服務武器
這就叫 密碼欺騙 具體是哪位牛人發(fā)現 我也不認識 呵呵
只是 我用這個思路 搞定了好多臺服務器 哈哈
想知道如何實現嗎? 往下看吧
前提條件:
一個webshell 最好有讀取注冊表的權限
如果不能讀取radmin注冊表至少wscript.shell組件沒刪 這樣我們可以調用cmd
導出radmin的表值
radmin的注冊表值 也就是經過加密的MD5 hash值 是32位哦
比如 radmin的注冊表里 密碼是這樣存放的
port 端口
Parameter REG_BINARY 1f 19 8c dd ** ** ** ** ** **有16組 每組兩個 合起來 就是32位了

工具 :
radmin 控制端
OllyDBG反匯編

首先 先用OllyDBG打開 radmin控制端(客戶端)
然后執(zhí)行 ctrl f 搜索 JMP EAX
然后按一下F4 再按F8
然后再 右鍵-查找-所有常量
輸入 10325476 (很好記的 反過來就是76543210)
在彈出的窗口中 選擇第一行 F2下斷
然后F9 運行
這時 你就用radmin連接 你要入侵的服務器
這時 會彈出 叫你輸入密碼的提示框 不用管 隨便輸入密碼
等你輸入完 后 OD也就激活了

這時 你要先運行下Ctrl F9 再往上幾行 選中紅色的那塊 就是剛才下斷的地方
再次 按F2 一下 取消斷點 然后再按 F8 這時 鼠標往下走 找到
ADD ES,18 這里 按一下F4
這時 你在左下角的 hex 那里 隨便找個地方點一下
然后 運行Ctrl G 在彈出的欄里 輸入 [esp] 注意帶大括號的
然后 就注意把第一行 復制替換成 剛才我們得到的radmin密碼的hash值
后按F9 運行看看 哈哈 是不是 搞定拉
這個方法 局限性很小 一般 的webshell都能 查看radmin的注冊表
或者利用wscript.shell 導出radmin的密碼 就可以進行欺騙了
比起 你暴力破解 不知道要省時多少倍.....

最新評論