刺球网络安全社区

 找回密码
 立即注册

新浪微博登陆

只需一步, 快速开始

QQ登录

只需一步,快速开始

搜索
查看: 2247|回复: 0

以彼之道还彼之身——radmin的欺骗利用

[复制链接]

 成长值: 217091

新浪微博达人勋

  • TA的每日心情

    2019-8-22 09:24
  • 签到天数: 23 天

    [LV.4]偶尔看看III

    1134

    主题

    1717

    帖子

    36万

    积分

    管理员

    技术指数:★★★★★

    Rank: 9Rank: 9Rank: 9

    积分
    362827

    社区QQ达人最佳新人活跃会员热心会员推广达人宣传达人灌水之王突出贡献优秀版主荣誉管理论坛元老

    QQ
    发表于 2016-12-23 15:18:52 | 显示全部楼层 |阅读模式

    一.灵感乍现

    之前曾经在网上看到一个关于radmin本地提权exp的动画,不过当时没有仔细研究,直到后来一个星期后有次去上网,才又想起了它:因为在家闷的慌,就跑出去到附近的一个网吧上网。机子垃圾得很,我开了个迅雷和几个IE进程就迟钝的不得了,习惯的打开“任务管理器”,却无意中发现了r_server.exe这个进程。很奇怪呀,没见过哪个脚吧装这个的。当时头脑里很灵光的出现了一个想法:既然我这台电脑有,那么其它的电脑里也都会有吧(社会工程学,呵呵),这样的话我们把密码弄到手,不就整个网吧都被我控制了吗?这就叫以彼之道还彼之身!我们知道radmin密码是保存在注册表中的,但却是加过密的。还要暴力破解,很麻烦也很费时间。现在那个动画就派上了用场,看过动画的人都知道利用radmin保存在服务端的密码hash在本地欺骗登录,可以成功登录到服务端!我们完生可以利用上面的方法来达到我们的目的。好了不多说了,进入重点。

    201612231482487576415736.jpg

    二.实战

    要利用这个漏洞我们要知道密码的hash,因为我在客户机对网管来说就属于服务端。首先去注册表中找两个键值,位置为HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.O\Server\Parameters,把port和Parameter的值记录下来。

    再把port的数据转换成十进制的,比如bd070000。我们每两个一组倒过来是000007bd,十六进制是ox07bd。使用Windows自带的计算器转换后就是1981了。因为根据社会工程学,不用考虑是不是每台机子hash 一样不一样的问题了。

    1.拿出OD,准备好radmin控制端(注意一定要是脱壳的哦),点文件—载入radmin的控制端,程序停在入口点,在反汇编代码框中,右键—查找一填入命令jmp eax,点击查找,OD帮我们在01401826处停下了。

    2.光标选中这一行代码后,按快捷键F4 一下,再F8单步过。把程序停在了00AOF58E处。接下来,我们要寻找Ox10325476这个常量出现的地方,右键一查找一所有常量,填入10325476.然后OD会帮我们找到三个地方。

    3.在第一个地址处双击后,回到主界面里,在这一行F2下断点,我们会发现代码变红。再使用F9让程序运行起来,此时radmin的界面出现了!如果没有出现,就用Shift+F9异常处理。然后填上IP和刚才我们转换的端口,再选个功能,比如我就选屏幕监视吧。然后填密码,这里随便填,因为我们正是来欺骗登陆嘛!然后点“连接”,哈哈!OD立马在我们下的断点处停下,断点被激活了。

    4.在我们刚才下断点处,再按F2取消断点,代码颜色已经正常了。光标继续选中这行代码,CTRL+F9跟踪程序直到遇到返回一下,再按F8单步过。OD又一次停在了009D24B3处。好了,现在我们可以睁大眼睛从这行代码往下找,直到看见009D24CE时停下,我们已经到了关键的地方了。之前的所有工作就是为了找这个地址。光标选中,按一下F4,把注意力放在下方的内存框中,我们要寻找一个很重要的地方。右键——转到——表达式,填上“[esp]”,点“确定”,看到了什么?是不是我们刚才填的密码。

    5.这说明我们快要成功了,现在把我们从注册表中读到的hash值复制,再到内存框中,就是刚才发现密码的地方,往上到第一行数据,一定是第一行啊!选中,右键——二进制——二进制粘贴,此时这里的代码又变成了红色的。好了,按下最后一个键F9,刷!对方的屏幕映入了眼帘(注意:在F9运行的时候,radmin并没有运行,就要用Shift+F9)。

    哈哈,拿出superscan3.0填上网吧的IP范围,端口写上1981,哈哈,装了radmin的机子,现在我们都可以控制了,我们就这样以彼之道还彼之身。

    看了上面复杂的方法大家是不是有点晕,大家们别慌。我最后给大家个简单工具,Radmin的hash版,顾名思义,在连接时只要输入hash就OK了,不用再反汇编那么麻烦,一切就是这么简单。

    201612231482487590159511.jpg

    三.总结

    文章的关键部分只是我的测试经验,基本是依照葫芦画瓢的。但是这个看似简单的过程对于不懂逆向的黑客们来说,做起来也会比较的困难,不过多做几遍就会熟悉的。这个漏洞让我对逆向工程有了新的认识,还有这样的用处啊。这个漏洞更大的发挥是在提权的时候,具体怎么用,那就要看我们自己了。




    楼主热帖
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册 新浪微博登陆

    本版积分规则

    
     
     
    技术支持
    点击这里给我发消息
    在线客服
    点击这里给我发消息
    点击这里给我发消息
    刺球网安群①:
    刺球网安社区交流群①
    在线时间:
    8:30-21:00
     

    刺球网安 渝公网安备 50011402500080号 ( 渝ICP备15001097号-1 )申请友链|小黑屋| 刺球网络安全社区

    GMT, 2020-10-25 21:40 , Processed in 0.270107 second(s), 48 queries , Gzip On.

    Powered by 刺球网安

    © 2014-2025

    快速回复 返回顶部 返回列表