Radmin 是一款很不錯(cuò)的服務(wù)器管理
無論是遠(yuǎn)程桌面控制還是文件傳輸  
速度都很快 很方便  
這樣也形成了 很多服務(wù)器都裝了 radmin這樣的
現(xiàn)在你說 4899默認(rèn)端口 沒密碼的 服務(wù)器你上哪找?
大家都知道radmin的密碼都是32位md5加密后
存放在注冊(cè)表里的
具體的表鍵值為 HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters\

那在攻陷一臺(tái)web服務(wù)器時(shí) 大家 怎么能進(jìn)一步提權(quán)?
如果你說 暴力破解 radmin 密碼 呵呵 那也行  
只不過 你要有足夠的時(shí)間 跟精力
我想很少人 花上幾星期 幾月 甚至幾年 去破解那個(gè)密碼

呵呵 本人最近在朋友哪得到一資料
就是如何 不需要破解 Radmin的密碼 就可以進(jìn)入服務(wù)器
這就叫 密碼欺騙 具體是哪位牛人發(fā)現(xiàn) 我也不認(rèn)識(shí) 呵呵
只是 我用這個(gè)思路 搞定了好多臺(tái)服務(wù)器 哈哈
想知道如何實(shí)現(xiàn)嗎? 往下看吧
前提條件:
一個(gè)webshell 最好有讀取注冊(cè)表的權(quán)限  
如果不能讀取radmin注冊(cè)表至少wscript.shell組件沒刪 這樣我們可以調(diào)用cmd
導(dǎo)出radmin的表值
radmin的注冊(cè)表值 也就是經(jīng)過加密的MD5 hash值 是32位哦
比如 radmin的注冊(cè)表里 密碼是這樣存放的
port 端口
Parameter REG_BINARY 1f 19 8c dd ** ** ** ** ** **有16組 每組兩個(gè) 合起來 就是32位了

工具 :
radmin 控制端
OllyDBG反匯編

首先 先用OllyDBG打開 radmin控制端(客戶端)
然后執(zhí)行 ctrl f 搜索 JMP EAX  
然后按一下F4 再按F8  
然后再 右鍵-查找-所有常量
輸入 10325476 (很好記的 反過來就是76543210)
在彈出的窗口中 選擇第一行 F2下斷
然后F9 運(yùn)行
這時(shí) 你就用radmin連接 你要入侵的服務(wù)器
這時(shí) 會(huì)彈出 叫你輸入密碼的提示框 不用管 隨便輸入密碼
等你輸入完 后 OD也就激活了

這時(shí) 你要先運(yùn)行下Ctrl F9 再往上幾行 選中紅色的那塊 就是剛才下斷的地方
再次 按F2 一下 取消斷點(diǎn) 然后再按 F8 這時(shí) 鼠標(biāo)往下走 找到
ADD ES,18 這里 按一下F4
這時(shí) 你在左下角的 hex 那里 隨便找個(gè)地方點(diǎn)一下
然后 運(yùn)行Ctrl G 在彈出的欄里 輸入 [esp] 注意帶大括號(hào)的
然后 就注意把第一行 復(fù)制替換成 剛才我們得到的radmin密碼的hash值
后按F9 運(yùn)行看看 哈哈 是不是 搞定拉
這個(gè)方法 局限性很小 一般 的webshell都能 查看radmin的注冊(cè)表
或者利用wscript.shell 導(dǎo)出radmin的密碼 就可以進(jìn)行欺騙了
比起 你暴力破解 不知道要省多少倍......