0x00 Radmin简介
-
Radmin是平时在windows下用的比较多的一个远程管理工具。其具有支持多个连接和IP 过滤(即允许特定的IP控制远程机器)、个性化的档互传、远程关机、支持高分辨率模式、基于Windows NT的安全支持及密码保护以及提供日志文件支持等特性。
-
默认开放
4899端口 -
Radmin server2.X、Radmin server3.0都存在一个“致命”漏洞 —— radmin hash提权漏洞
0x01 提权思路
老版本的Radmin会在注册表中保留密码的Hash值,通过WEBSHELL、远程挂马读取注册表中的密码Hash值并在本地破解密码进行远程连接来达到提权目的。
0x02 提取步骤
1、获取MD5Hash值
HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParametersParameter//默认密码注册表位置
HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParametersPort //默认端口注册表位置
2、使用RadminHash进行登录
在Radmin-Hash客户端输入RAdmin客户端的Hash值即可登录。
然后在Radmin-Hash客户端新建服务端,输入所要连接的IP或者扫描存活主机进行连接
3、查看远程屏幕
在Radmin客户端选择屏幕控制,输入Hash值即可查看远程主机屏幕。
4、获取并破解密码
用mimikatz解析用户密码,也可以通过上传getpw.exe文件获取用户的sam值,再通过LC5解密。
5、登录远程桌面
在本地打开远程桌面连接器,输入远端IP进行登录。
0x03 参考文章
《网络攻防实战研究——漏洞利用与提权》
http://www.361way.com/radmin-hash-loophole/2146.html