提权学习:第三方软件提权(Radmin 提权) 4899
当你的才华
还撑不起你的野心时
那你就应该静下心来学习
目录
Radmin 提权
0x01 介绍
0x02 利用方式
常见虚拟主机常见路径
第一种方式:手工查询注册表爆hash值
第二种方式:通过大马爆hash值
拓展知识
0x03 反汇编破解Radmin密码实例
0x04 利用各种shell获取注册表的方法
0x05 拓展知识
radmin2.1提权
Radmin 提权
0x01 介绍
Radmin是一款屡获殊荣的远程控制软件(服务器管理 ),它将远程控制、外包服务组件、以及网络监控结合到一个系统里,还是文件传输速度都很快、很方便,这样也形成了很多服务器都装了Radmin这样的远程控制器,并且提供目前为止最快速、强健而安全的工具包。
Radmin是平时在Windows下用的比较多的一个远程管理工具。其具有支持多个连接和IP 过滤(即允许特定的IP控制远程机器)、个性化的档互传、远程关机、支持高分辨率模式、基于Windows NT的安全支持及密码保护以及提供日志文件支持等特性。不过老版本的Radmin Server2.X、Radmin Server3.0都存在一个“致命”漏洞 —— Radmin hash提权漏洞。
注:
该漏洞的利用是需要有一定的前提条件的(就是双方都必须要安有Radmin(客户端、服务端))。要获取读取系统注册表的权限(并不需要有写权限)。当然,获得此权限的方法很多。基本上取得webshell、cmdshell后都能获取该权限。
radmin的密码都是32位md5加密后,存放在注册表里的。
推荐红盟社区的精品文章:Radmin 远控的深度研究—无毒远控终极提权
http://www.cnhonkerarmy.com/thread-132999-1-6.html
0x02 利用方式
这里 CE介绍两种利用方式,一种是手工查询注册表,一个个的利用计算器计算出来(十六进制),另一种就是通过大马里集成的Radmin 提权,直接爆出hash值
radmin提权:(默认端口4899)直接使用大马中的Radmin提权,可以直接读取Radmin的密码(密文),同样使用工具radmin_hash.exe直接新建连接,然后右键完全控制,将32位的hash密文直接输入即可(注:在大马里面获取的密文为大写,需要先进行小写转换)
Radmin提权思路:
1. 在webshll中检查出有安装Radmin程序;
2. 在读取Radmin注册表键值,然后把读取的十进制转换成16进制;
3. 直接用radmi-hash工具连接,把读取的十六进制填入进去;
4. 最后可以用radmin客户端连接就行了;
常见虚拟主机常见路径
- D:\virtualhost\web580651\www\ 新网虚拟主机
- F:\usr\fw04408\xpinfo\ 万网虚拟主机
- D:\hosting\wwwroot\ Prim@Hosting虚拟主机
- e:\wwwroot\longzhihu\wwwroot\ 华众虚拟主机
- d:\freehost\zhoudeyang\web\ 星外虚拟主机主机
- D:\vhostroot\LocalUser\gdrt\ 星外分支
- f:\host\wz8088\web\ 星外分支
- D:\vhostroot\localuser\ vhostroot
第一种方式:手工查询注册表爆hash值
从注册表的下列路径取得所要的hash值和端口值:
- //默认密码注册表位置
- HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParametersParameter
- //默认端口注册表位置
- HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParametersPort
parameters下的配置大致如下所示:
- [HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParameters]
- "NTAuthEnabled"=hex:00,00,00,00
- "Parameter"=hex:b5,bb,fc,50,93,ba,35,b0,7d,a6,57,f7,d6,f1,9a,a0
- "Port"=hex:11,27,00,00
- "Timeout"=hex:0a,00,00,00
- "EnableLogFile"=hex:01,00,00,00
- "LogFilePath"="c:logfile.txt"
- "FilterIp"=hex:00,00,00,00
- "DisableTrayIcon"=hex:00,00,00,00
- "AutoAllow"=hex:00,00,00,00
- "AskUser"=hex:00,00,00,00
- "EnableEventLog"=hex:00,00,00,00
如何知道受害者主机的端口是多少?我们在自己电脑上装上一个同版本的radmin,注册表中找到相关的位置。将其中的端口的hex值改成和查到的一样,再查看自己的设置里的端口变成了多少。上例中所取的值11,27,00,00 即是10001端口。而通radmin_hash修改版输入32位hash值就会连接上主机。
第二种方式:通过大马爆hash值
大致步骤分为:
- 1. 端口扫描 4899 端口
- 2. 上传大马读取Radmin的加密密文
- 3. 下载Radmin工具连接(可以使用RadminHash工具调试连接)
点击大马中的radmin提权功能,从下图中看到端口为4899, 密码为密文格式的,尝试破解一下密码
我们输入默认大写的hash值,弹窗报错密码输入有误,那我们就需要把hash值进行转换为小写
我随便从网上找的一个大小写转换工具
转换大小写地址链接:https://www.iamwawa.cn/daxiaoxie.html
转换成功后,我们试着用Radmin_Hash工具连接一下,看看能不能连接成功
读出HASH值后用Radmin_Hash工具或od调试连接,工具下载地址如下:
链接:https://pan.baidu.com/s/1REhmow_Ryf1qF79ap1pp3w
提取码:umqh
成功Radmin_Hash工具使用连接上受害者主机
当然,我们进行远程连接时,需要与管理员岔开时间段登录,要不然被发现那就凉凉了,切记,一定要再管理员下线后操作,所以我们一定要在晚上进行此操作,不要在白天进行。那我们怎么看管理员在没在线呢?
查看管理员是否在线命令如下:
query user
注:此命令可以看到此刻管理员的登录状态及时间
或戏弄管理员,皮一下。例如:
Msg administrator+你要发送的内容
Msg administrator 沙雕,你已变成我的肉鸡了!哈哈哈
拓展知识
0x03 反汇编破解Radmin密码实例
前提条件:
一个webshell 最好有读取注册表的权限
如果不能读取radmin注册表至少wscript.shell组件没删 这样我们可以调用cmd
导出radmin的表值
radmin的注册表值,也就是经过加密的MD5 hash值 是32位哦
比如 radmin的注册表里,密码是这样存放的
port 端口
Parameter REG_BINARY 1f 19 8c dd ** ** ** ** ** **有16组 每组两个 合起来 就是32位了
工具 :
radmin 控制端
OllyDBG反汇编
首先 先用OllyDBG打开 radmin控制端(客户端)
然后执行 ctrl f 搜索 JMP EAX
然后按一下F4 再按F8
然后再 右键-查找-所有常量
输入 10325476 (很好记的 反过来就是76543210)
在弹出的窗口中 选择第一行 F2下断
然后F9 运行
这时 你就用radmin连接 你要入侵的服务器
这时 会弹出 叫你输入密码的提示框 不用管 随便输入密码
等你输入完 后 OD也就激活了
这时 你要先运行下Ctrl F9 再往上几行 选中红色的那块 就是刚才下断的地方
再次 按F2 一下 取消断点 然后再按 F8 这时 鼠标往下走 找到
ADD ES,18 这里 按一下F4
这时 你在左下角的 hex 那里 随便找个地方点一下
然后 运行Ctrl G 在弹出的栏里 输入 [esp] 注意带大括号的
然后 就注意把第一行 复制替换成 刚才我们得到的radmin密码的hash值
后按F9 运行看看 哈哈 是不是 搞定拉
这个方法 局限性很小 一般 的webshell都能 查看radmin的注册表
或者利用wscript.shell 导出radmin的密码 就可以进行欺骗了
比起,你暴力破解不知道要省多少倍时间......
0x04 利用各种shell获取注册表的方法
下面以一个cmdshell为例,解读操作注册表键值的方法。
1、读取注册表(利用regedit导出,利用type查询)
- C:>regedit /e 1.reg "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp"
- C:>type 1.reg | find "PortNumber"
- "PortNumber"=dword:00000d3d
- C:>del 1.reg
2、修改/删除注册表项
- echo Windows Registry Editor Version 5.00 >1.reg
- echo. >>1.reg
- echo [HKEY_LOCAL_MACHINESOFTWAREMicrosoftTelnetServer1.0] >>1.reg
- echo "TelnetPort"=dword:00000913 >>1.reg
- echo "NTLM"=dword:00000001 >>1.reg
- echo. >>1.reg
- regedit /s 1.reg
上面是利用echo写入一个reg文件,并通过regedit命令导入。而删除操作与上面类似:
- 要删除一个项,在名字前面加减号,比如:
- [-HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesServ-U]
- 要删除一个值,在等号后面用减号,比如:
- [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
- "KAVRun"=-
3、inf文件操作
如果regedit命令不允许我们直接操作,我们还可以绕道通过inf文件导入注册表。先建立一个reg.inf文件,内容如下:
- [Version]
- Signature="$WINDOWS NT$"
- [DefaultInstall]
- AddReg=My_AddReg_Name
- DelReg=My_DelReg_Name
- [My_AddReg_Name]
- HKLM,SOFTWAREMicrosoftTelnetServer1.0,TelnetPort,0x00010001,2323
- HKLM,SOFTWAREMicrosoftTelnetServer1.0,NTLM,0x00010001,1
- [My_DelReg_Name]
- HKLM,SYSTEMCurrentControlSetServicesServ-U
- HKLM,SOFTWAREMicrosoftWindowsCurrentVersionRun,KAVRun
然后运行如下命令(假设刚才的inf文件的路径是c:pathreg.inf),即可完成和上面reg文件一样的功能:
rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 c:pathreg.inf
至于inf文件的内容每项的意思,可以参看DDK帮助手册。
0x05 拓展知识
radmin2.1提权
RADMIN的注册表项位于HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\ Parameter(在这个键值保存着密码)
在本机安装radmin,,把上面的密码键值导出,上传到webshell的可写目录中
cmd下执行下列2行的命令:
REGEDIT -E C:\123.REG HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters (导出密码文件到c盘,c盘要有可写目录)
此步骤可以省略,直接导入本机的密码,实验通过。
REGEDIT -s C:\456.REG HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters (导入密码到注册表)
然后本机连接服务器ip,密码是本地radmin密码
参考连接:
http://www.361way.com/radmin-hash-loophole/2146.html
https://www.jb51.net/hack/5082.html
https://www.cnblogs.com/xishaonian/p/6031556.html
我不需要自由,只想背着她的梦
一步步向前走,她给的永远不重
提权学习:第三方软件提权(Radmin 提权) 4899相关推荐
- 提权学习:Linux普通用户提权为root
当你的才华 还撑不起你的野心时 那你就应该静下心来学习 目录 Linux普通用户提权为root 接下来直接看实例 Linux普通用户提权为root 我记得我以前用Linux的时候,忘记root密码是常 ...
- 提权学习之旅——Linux操作系统提权
首发于先知社区 https://xz.aliyun.com/t/8139 前言: 上次学习了Windows操作系统的提权以及相关工具的利用,这次就来学习一下Linux操作系统的提权 Linux提权基础 ...
- 提权学习之旅——利用Metasploit提权
Metasploit基础 0x00:简介 Metasploit是一个漏洞利用框架,简称msf.是一个免费的.可下载的框架,通过它可以很容易地获取.开发并对计算机软件漏洞实施攻击,,而且本身附带数百个已 ...
- 提权学习:第三方软件提权(Server-u 提权)43958
当你的才华 还撑不起你的野心时 那你就应该静下心来学习 第三方软件提权 Server-u 提权 Serv-U FTP Server,是一种被广泛运用的FTP服务器端软件,支持3x/9x/ME/NT/2 ...
- 提权学习:第三方软件提权(破解hash 提权、MFS 破解hash 提权、GetPass 破解hash提权、QuarksPwDump 破解hash提权)
当你的才华 还撑不起你的野心时 那你就应该静下心来学习 目录 破解hash 值提权 0x01 Pwdunp7 破解hash 0x02 GetPass 破解hash 0x03 hash传递入侵 MSF加 ...
- Day1——提权学习之提权基础
0x00 提权技术分类 大概分为三种: 1.系统溢出漏洞提权 2.数据库提权 3.第三方软件提权 0x01 通常脚本所处的权限 1.asp / php 匿名权限(网络服务权限) 2.aspx user ...
- 提权系列(一)----Windows Service 服务器提权初识与exp提权,mysql提权
一.初识提权 很多时候我们入侵一个网站的时候,想要的是得到这个服务器的权限,也就是admin权限,但是一般默认得到的是普通用的地权限,权限很小,所以就要通过其他手段,提升自己的权限. 提权是将服务器的 ...
- (59.2)【Windows提权】权限等级、PSTools提权、at命令提权、sc命令提权
目录 一.权限分配 1.1.Windows: 1.2.Linux 二.PSTools提权 2.1.简介: 2.2.微软官网: 2.3.PsExec提权: 三.at命令提权 3.1.原理: 3.2.适用 ...
- 深度学习 vs. 大数据:神经网络权值的版权属于谁?
深度学习 vs. 大数据:神经网络权值的版权属于谁? width="22" height="16" src="http://hits.sinaj ...
最新文章
- linux oracle 用户创建,LINUX下Oracle数据库用户创建方法详解
- express运行原理
- python爬取csdn排名积分等信息
- JNI编程基础(二)——Android Studio NDK开发
- 使用object detection训练并识别自己的模型
- C语言再学习 -- 再论内存管理
- PHP中类明明存在 但class_exists 确检测不到的坑: 使用完整命名空间
- html浏览器边框颜色,CSS设置字体和边框颜色时Chrome和其他主流浏览器差别的问题_html/css_WEB-ITnose...
- Genymotion下载及安装(安卓虚拟机)
- 红米手机使用应用沙盒一键修改cpu信息
- Markdown编辑器:好看的字体颜色和各种表情符号
- linux系统底层,干货|七点,用计算机底层知识教你安装Linux系统!
- 【Python数据分析 :Task4】
- C语言的语句与程序的基本结构
- 东半球空间环境地基综合监测子午链——子午工程
- python与建筑地铁结合_Python基础(3)——北京市地铁买票问题(思维练习题)...
- matlab粒子群加约束条件_粒子群算法(PSO)MATLAB实现
- 优秀的相关网站留存【实时更新】
- Backgrounds for Mac(mac桌面动态壁纸)
- 水池水位无线自动控制系统
热门文章
- YOLO—神经网络原理
- 19美亚个人赛复盘2(手机取证)
- JixiPix Hand Tint Pro for Mac(图片处理软件)
- 网站诊断分析-网站诊断分析软件-网站SEO诊断分析软件
- 二氧化硅改性活性炭|SiO2改性的V2O5-MoO3/TiO2催化剂|SiO2改性MCM-22分子筛上联苯|纳米SiO2改性环氧涂层海洋腐蚀规律
- tp5.1 集成支付宝支付方法(二)
- 网站推行:外链建设需求留意什么?
- com.github.abel533.mapper.MapperProvider插件使用遇到的问题
- html页面打包为小程序
- Windows驱动_WSK驱动之四WSK例程