Day12——提权学习之第三方软件Radmin提权

0x00 Radmin简介

• Radmin是平时在windows下用的比较多的一个远程管理工具。其具有支持多个连接和IP 过滤(即允许特定的IP控制远程机器)、个性化的档互传、远程关机、支持高分辨率模式、基于Windows NT的安全支持及密码保护以及提供日志文件支持等特性。

• 默认开放 4899 端口

• Radmin server2.X、Radmin server3.0都存在一个“致命”漏洞 —— radmin hash提权漏洞

0x01 提权思路

老版本的Radmin会在注册表中保留密码的Hash值，通过WEBSHELL、远程挂马读取注册表中的密码Hash值并在本地破解密码进行远程连接来达到提权目的。

0x02 提取步骤

1、获取MD5Hash值

HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParametersParameter//默认密码注册表位置
HKEY_LOCAL_MACHINESYSTEMRAdminv2.0ServerParametersPort //默认端口注册表位置

2、使用RadminHash进行登录
在Radmin-Hash客户端输入RAdmin客户端的Hash值即可登录。
然后在Radmin-Hash客户端新建服务端，输入所要连接的IP或者扫描存活主机进行连接

3、查看远程屏幕

在Radmin客户端选择屏幕控制，输入Hash值即可查看远程主机屏幕。

4、获取并破解密码
用mimikatz解析用户密码，也可以通过上传getpw.exe文件获取用户的sam值，再通过LC5解密。

5、登录远程桌面

在本地打开远程桌面连接器，输入远端IP进行登录。

0x03 参考文章

《网络攻防实战研究——漏洞利用与提权》
http://www.361way.com/radmin-hash-loophole/2146.html