远程控制软件Radmin提升权限之实例研究

远程控制软件Radmin提升权限之实例研究

Simeon

     在网络安全技术比较成熟的今天，一些配置上的疏忽或者管理上的不到位将会导致巨大的安全风险。在笔者的眼中，远程控制软件除了溢出等漏洞外，利用口令等方式来提升权限无疑是一种上佳选择，只要获取了口令信息，配合一些工具软件，就可以使用它来进行“正常”登录，***者行使管理员权限，Serv-U、PcAnywhere、VNC都存在过这种问题，远程控制中的Radmin软件也不例外。

很早以前笔者就了解到Radmin2.x版本中可以通过Hash值来进行登录，无需知道其确切的密码，按照网上的说法，需要反汇编工具软件的配合，但由于其操作较为繁琐，且成功率较低，后面有人将整个过程进行优化，将Radmin客户端程序进行了修改，提供了Radmin-Hash登录版本，因此有了本文。

Radmin2.X版本中其密码是经过加密的32位MD5 hash值，保存在注册表中的Radmin键值下的Parameter中，例如"Parameter"=hex:f4,7b,bc,b1,77,44,6e,73,dd,c2,c3,a7,<?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />4c,94,15,fd。“f47bbcb177446e73ddc2c3a74c9415fd”就是Radmin2.X的Md5 Hash值。只要安装知道安装Radmin服务端计算机的IP地址、端口以及密码，如果没有做IP限制，那么只要能够访问该计算机，则可以对该计算机实施完全控制。由于Radmin功能强大，因此深受广大网管人员喜爱。

本文就Radmin的安全隐患进行探讨，就Radmin远程控制软件本身来说没有太多的缺陷，但是由于管理人员的疏忽或者是由于系统存在其它配置或者程序上的漏洞，那么在获取其Radmin的32为Hash值后极有可能造成极大的安全隐患，隐患之一就是使用Radmin-hash客户端进行登录，只要获取了Radmin的Hash值，就可以成功登录该主机。下面以一个实际案例来进行探讨。

（一）获取远程计算机的Md5 Hash值

一般通过Webshell或者远程挂马等方式来获取远程计算机的Md5 Hash值，由于Radmin中的密码值是保存在注册表中，因此可以通过Webshell等方式获取被控计算机上的Radmin的密码值。一般来说要获取服务器上的Hash值比较困难，目前很多服务器安全设置都处理的不错，对外开放的端口较少，因此只能通过Sql注入或者跨站***来获取。

（二）使用Radmin-hash版本进行登录

Radmin-hash版本客户端只要输入Radmin客户端的Hash值即可进行登录。在Radmin-Hash客户端中新建服务端，如图1所示，建立成功后使用“工具选项”中的“扫描存活主机”对该主机进行连接测试，如果该主机可以连接，则会在标识中以黄色的勾显示。

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /><?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

图1 建立Radmin连接

（三）进行登录验证尝试

 选择“221.12.*.*”标识，然后双击进行连接，接着Radmin-Hash版本客户端会弹出要求输入密码的对话框，如图2所示，输入该服务端对应的32位的Hash值，然后单击“确定”按钮进行登录尝试。

图2 输入Radmin的32位Hash值

根据网络连接情况，大概数秒后，如果Hash值正确，则可以顺利进入Radmin的相应管理，如图3所示，进入Radmin服务端的Telnet管理界面，在该界面中可以执行各种命令。

图3 成功进入Telnet管理

说明：

Webshell获取的权限很低，除了网站目录外，基本上做不了其它事情，包括执行Dos命令，而一旦通过Radmin的Telnet管理端，则几乎可以执行任何命令。

（四）查看远程屏幕和传输文件

 在Radmin客户端中选择屏幕监控，然后双击其标识，再次输入32位Hash值，即可查看其远程主机的屏幕，如图4所示，知道该主机开放了远程终端桌面。接着使用Radmin的文件传输，将getpw.exe文件上传到该主机上，当然也可以传输其它文件。

图4 查看远程屏幕

（五）获取密码或者进行内网***

在Telnet中进入getpw.exe文件所在目录，然后执行“getpw $local”命令获取该主机的所有帐号的sam值，如图5所示。然后在Telnet管理端中选择“菜单”-“保存为”命令将执行命令的结果保存为一个本地文件。

图5 获取主机sam值

（六）破解密码

    将包含sam值的文件进行整理，将包含帐号的sam值另存为一个sam文件，然后运行LC5，并将sam导入其中进行破解，如图6所示，破解成功后其管理员帐号Administrator的密码为“rous***”。

图6 破解管理员帐号

（七）登录远程桌面

在本地打开远程桌面连接器，输入远端IP地址进行登录测试，出现远程连接桌面后，输入破解后的密码，成功进入远程管理桌面，如图7所示。

图7进入远程管理桌面

（八）防范对策

 既然有些风险无法完全排除，那么可以采取一些补救措施来降低风险。通过分析研究，笔者认为可以采取以下一些措施来防范Radmin-hash提升权限。

（1）在Radmin服务端中进行授权设置，在Radmin中可以对登录用户进行授权设置，对不同的IP或者用户设置不同的权限，例如上传文件、读取文件、写入文件、执行命令等。

（2）使用IP限制。如果登录用户的IP地址是固定的，则可以在IP限制中进行设置，仅仅允许客户的IP地址进行登录，这样只有客户的那个网络段才能进行登录。

（3）使用Radmin中的日志记录。Radmin中默认未启用日志记录，可以在Dos提示符下输入“R_server /setup”命令打开设置窗口，如图8所示，在“Logging”中分别选中“Use Event Log”以及“Use logfile”选项，并设置日志文件名称以及路径，然后单击“Ok”按钮完成设置。

图8 在Radmin中启用日志记录

（4）发生***后或者不定期修改Radmin以及管理员帐号密码。没有绝对的安全，只有绝对的不安全。如果主机24小时提供服务，则应该定期修改远程管理软件以及用户帐号等密码，并定期安装系统补丁和进行安全检查。

以上是笔者的一些拙见，欢迎致力于网络安全的广大读者朋友跟我一起进行技术的共同探讨，我的msn：[email]gazhi_chen@hotmail.com[/email]。