Radmin密碼破解

大家都用過Lake2的EVAL版SEHLL吧！最近RADMIN貌似挺火的,我也來湊湊熱鬧,做了一個讀取Radmin密文還有埠的插件.已經做了進位轉換！

Readme:
1 下載lake2 EVAL 版SHELL.
2 將RadminReader.htm 保存到FUNC目錄中.
3 添加lake2eval.htm中的下拉表Select屬性
<optionvalue="RadminReader">RadminReader</option>

PS:程序需要WSCRIPT.SHELL的支持！為了方便讀取,已經將讀取到的數據做了進位轉換！

下載地址：http://201314.free.fr/attachments/200709/radminreader.rar

來源：fhod's Blog

Radmin 是一款很不錯的伺服器管理
無論是 遠程桌面控制 還是 文件傳輸
速度都很快 很方便
這樣也形成了 很多伺服器都裝了 radmin這樣的
現在你說 4899默認埠 沒密碼的 伺服器你上哪找?
大家都知道radmin的密碼都是32位md5加密后
存放在註冊表裡的
具體的表鍵值為 HKLMSYSTEMRAdminv2.0ServerParameters

那在攻陷一台web伺服器時 大家 怎麼能進一步提權?
如果你說 暴力破解 radmin 密碼 呵呵 那也行
只不過 你要有足夠的時間 跟精力
我想很少人 花上幾星期 幾月 甚至幾年 去破解那個密碼

呵呵 本人最近在朋友哪得到一資料
就是如何 不需要破解 Radmin的密碼 就可以進入服務武器
這就叫 密碼欺騙 具體是哪位牛人發現 我也不認識 呵呵
只是 我用這個思路 搞定了好多台伺服器 哈哈
想知道如何實現嗎? 往下看吧
前提條件:
一個webshell 最好有讀取註冊表的許可權
如果不能讀取radmin註冊表至少wscript.shell組件沒刪 這樣我們可以調用cmd
導出radmin的表值
radmin的註冊表值 也就是經過加密的MD5 hash值 是32位哦

工具 :
radmin 控制端
OllyDBG反彙編

首先 先用OllyDBG打開 radmin控制端(客戶端)
然後執行 ctrl f 搜索 JMP EAX
然後按一下F4 再按F8
然後再 右鍵-查找-所有常量
輸入 10325476 (很好記的 反過來就是76543210)
在彈出的窗口中 選擇第一行 F2下斷
然後F9 運行
這時 你就用radmin連接 你要入侵的伺服器
這時 會彈出 叫你輸入密碼的提示框 不用管 隨便輸入密碼
等你輸入完 后 OD也就激活了

這時 你要先運行下Ctrl F9 再往上幾行 選中紅色的那塊 就是剛才下斷的地方
再次 按F2 一下 取消斷點 然後再按 F8 這時 滑鼠往下走 找到
ADD ES,18 這裡 按一下F4
這時 你在左下角的 hex 那裡 隨便找個地方點一下
然後 運行Ctrl G 在彈出的欄里 輸入 [esp] 注意帶大括弧的
然後 就注意把第一行 複製替換成 剛才我們得到的radmin密碼的hash值
后按F9 運行看看 哈哈 是不是 搞定拉
這個方法 局限性很小 一般 的webshell都能 查看radmin的註冊表
或者利用wscript.shell 導出radmin的密碼 就可以進行欺騙了
比起 你暴力破解 不知道要省多少倍......

令我覺得驚訝的就是OD除了能破解軟體以外,還能有這方面用途.

文章轉自：http://www.lcocn.com/read.php?tid=3366&fpage=0&toread=&page=1
動畫地址：http://www.hack58.net/Soft/html/13/25/2007/2007082211234.htm