返回列表 发帖
呵呵  这个方法是上次和fhod 一起搞冰兰时候发现的  希望对楼主有帮助 ..谁用了我的名字...我还得在我名字后加1才行....
帖子110 精华2 积分3310 阅读权限100 性别男 在线时间191 小时 注册时间2007-4-19 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP 少女暴富的隐秘(图)

b0r3d
晶莹剔透§烈日灼然

TOP

r_server.exe                  1892                            0      4,796 K
radmin   
找到目录 之后下载它目录里的全部内容 应该有3个注册表文件
之后利用这个http://www.hackerchina.cn/?action=show&id=72
来进行 radmin的密码 破解
Radmin 是一款很不错的服务器管理<strong class="kgb" onmouseover="isShowAds = false;isShowAds2 = false;isShowGg = true;InTextAds_GgLayer="_u8F6F_u4EF6";ads.ShowGgAds(this,"_u8F6F_u4EF6",event)" style="BORDER-TOP-WIDTH: 0px; PADDING-RIGHT: 0px; PADDING-LEFT: 0px; FONT-WEIGHT: normal; BORDER-LEFT-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; PADDING-BOTTOM: 0px; MARGIN: 0px; CURSOR: hand; COLOR: #0000ff; PADDING-TOP: 0px; BORDER-RIGHT-WIDTH: 0px; TEXT-DECORATION: underline" onclick="javascript:window.open("http://pagead2.googlesyndication.com/pagead/iclk?sa=l&ai=BWfC9cd7LRurxLJ74sALLlKDUBNjf-Su0-cKFBMCNtwHAixEQAxgDIJmu8QkoFDgBUK7xoIQCYJ2Z34HYBZgBjooBmAG8pAagAZSPzv4DqgEKMjAwMDAxNTk5ObIBDXd3dy5sY29jbi5jb23IAQHaAT1odHRwOi8vd3d3Lmxjb2NuLmNvbS9yZWFkLnBocD90aWQ9MzM2NiZmcGFnZT0wJnRvcmVhZD0mcGFnZT0xgAIBqQKPxBgicK6BPqgDAQ&num=3&adurl=http://www.linjin.net/cuxiao/crm/&client=ca-pub-5384462698219144");GgKwClickStat("软件","www.linjin.net/","afc");" onmouseout="isShowGg = false;InTextAds_GgLayer="_u8F6F_u4EF6"">软件
无论是 远程桌面控制 还是 文件传输
速度都很快 很方便
这样也形成了 很多<strong class="kgb" onmouseover="isShowAds = false;isShowAds2 = false;isShowGg = true;InTextAds_GgLayer="_u670D_u52A1";ads.ShowGgAds(this,"_u670D_u52A1",event)" style="BORDER-TOP-WIDTH: 0px; PADDING-RIGHT: 0px; PADDING-LEFT: 0px; FONT-WEIGHT: normal; BORDER-LEFT-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; PADDING-BOTTOM: 0px; MARGIN: 0px; CURSOR: hand; COLOR: #0000ff; PADDING-TOP: 0px; BORDER-RIGHT-WIDTH: 0px; TEXT-DECORATION: underline" onclick="javascript:window.open("http://pagead2.googlesyndication.com/pagead/iclk?sa=l&ai=BLkJDcd7LRurxLJ74sALLlKDUBKu4jSfXpc7ZA8CNtwHAmgwQBBgEIJmu8QkoFDgBUNmEoHlgnZnfgdgFqgEKMjAwMDAxNTk5ObIBDXd3dy5sY29jbi5jb23IAQHaAT1odHRwOi8vd3d3Lmxjb2NuLmNvbS9yZWFkLnBocD90aWQ9MzM2NiZmcGFnZT0wJnRvcmVhZD0mcGFnZT0xqQKPxBgicK6BPsgC9_rTAqgDAQ&num=4&adurl=http://smartkeyword.allyes.com/main/adfclick%3Fdb%3Dsmartkeyword%26bid%3D1,180,1%26cid%3D1,0,0%26kv%3Dkvid%7C466579%26show%3Dignore%26url%3Dhttp://inspur.allyes.com/sv/0708 ... ub-5384462698219144");GgKwClickStat("服务","www.inspur.com","afc");" onmouseout="isShowGg = false;InTextAds_GgLayer="_u670D_u52A1"">服务器都装了 radmin这样的<strong class="kgb" onmouseover="isShowAds = false;isShowAds2 = false;isShowGg = true;InTextAds_GgLayer="_u7BA1_u7406_u8F6F_u4EF6";ads.ShowGgAds(this,"_u7BA1_u7406_u8F6F_u4EF6",event)" style="BORDER-TOP-WIDTH: 0px; PADDING-RIGHT: 0px; PADDING-LEFT: 0px; FONT-WEIGHT: normal; BORDER-LEFT-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; PADDING-BOTTOM: 0px; MARGIN: 0px; CURSOR: hand; COLOR: #0000ff; PADDING-TOP: 0px; BORDER-RIGHT-WIDTH: 0px; TEXT-DECORATION: underline" onclick="javascript:window.open("http://pagead2.googlesyndication.com/pagead/iclk?sa=l&ai=BWfC9cd7LRurxLJ74sALLlKDUBNjf-Su0-cKFBMCNtwHAixEQAxgDIJmu8QkoFDgBUK7xoIQCYJ2Z34HYBZgBjooBmAG8pAagAZSPzv4DqgEKMjAwMDAxNTk5ObIBDXd3dy5sY29jbi5jb23IAQHaAT1odHRwOi8vd3d3Lmxjb2NuLmNvbS9yZWFkLnBocD90aWQ9MzM2NiZmcGFnZT0wJnRvcmVhZD0mcGFnZT0xgAIBqQKPxBgicK6BPqgDAQ&num=3&adurl=http://www.linjin.net/cuxiao/crm/&client=ca-pub-5384462698219144");GgKwClickStat("管理软件","www.linjin.net/","afc");" onmouseout="isShowGg = false;InTextAds_GgLayer="_u7BA1_u7406_u8F6F_u4EF6"">管理软件
现在你说 4899默认端口 没密码的 服务器你上哪找?
大家都知道radmin的密码都是32位md5加密后
存放在注册表里的
具体的表键值为 HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters\

那在攻陷一台web服务器时 大家 怎么能进一步提权?
如果你说 暴力破解 radmin 密码 呵呵 那也行
只不过 你要有足够的时间 跟精力
我想很少人 花上几星期 几月 甚至几年 去破解那个密码

呵呵 本人最近在朋友哪得到一资料
就是如何 不需要破解 Radmin的密码 就可以进入服务武器
这就叫 密码欺骗   具体是哪位牛人发现 我也不认识 呵呵
只是 我用这个思路 搞定了好多台服务器 哈哈
想知道如何实现吗? 往下看吧
前提条件:
一个webshell     最好有读取注册表的权限
如果不能读取radmin注册表至少wscript.shell组件没删 这样我们可以调用cmd
导出radmin的表值
radmin的注册表值 也就是经过加密的MD5 hash值 是32位哦
比如 radmin的注册表里 密码是这样存放的
port 端口
Parameter   REG_BINARY     1f 19 8c dd ** **   ** ** ** **有16组 每组两个 合起来 就是32位了

工具 :
radmin 控制端
OllyDBG反汇编

首先 先用OllyDBG打开 radmin控制端(客户端)
然后执行 ctrl+f  JMP EAX  
然后按一下F4 再按F8
然后再 右键-查找-所有常量
输入 10325476 (很好记的 反过来就是76543210)
在弹出的窗口中 选择第一行 F2下断
然后F9 运行
这时 你就用radmin连接 你要入侵的服务器
这时 会弹出 叫你输入密码的提示框 不用管 随便输入密码
等你输入完 后 OD也就激活了<strong class="kgb" onmouseover="isShowAds = false;isShowAds2 = false;isShowGg = true;InTextAds_GgLayer="_u65AD_u70B9";ads.ShowGgAds(this,"_u65AD_u70B9",event)" style="BORDER-TOP-WIDTH: 0px; PADDING-RIGHT: 0px; PADDING-LEFT: 0px; FONT-WEIGHT: normal; BORDER-LEFT-WIDTH: 0px; BORDER-BOTTOM-WIDTH: 0px; PADDING-BOTTOM: 0px; MARGIN: 0px; CURSOR: hand; COLOR: #0000ff; PADDING-TOP: 0px; BORDER-RIGHT-WIDTH: 0px; TEXT-DECORATION: underline" onclick="javascript:window.open("http://pagead2.googlesyndication.com/pagead/iclk?sa=l&ai=BGKzicd7LRurxLJ74sALLlKDUBKOi8SnXq67hAsCNtwGA8QQQBxgHIJmu8QkoFDgBUIPwgJUDYJ2Z34HYBZgBnYcBmAHohwGYAaqkBpgByKQGqgEKMjAwMDAxNTk5ObIBDXd3dy5sY29jbi5jb23IAQHaAT1odHRwOi8vd3d3Lmxjb2NuLmNvbS9yZWFkLnBocD90aWQ9MzM2NiZmcGFnZT0wJnRvcmVhZD0mcGFnZT0xqQKPxBgicK6BPsgCo6WVA6gDAQ&num=7&adurl=http://www.ok100.com.cn&client=ca-pub-5384462698219144");GgKwClickStat("断点","www.ok100.com.cn","afc");" onmouseout="isShowGg = false;InTextAds_GgLayer="_u65AD_u70B9"">断点
这时 你要先运行下Ctrl+F9   再往上几行 选中红色的那块 就是刚才下断的地方
再次 按F2 一下 取消断点 然后再按   F8   这时 鼠标往下走 找到
ADD ES,18 这里 按一下F4
这时 你在左下角的 hex 那里 随便找个地方点一下
然后 运行Ctrl+G   在弹出的栏里 输入 [esp]   注意带大括号的
然后 就注意把第一行 复制替换成 刚才我们得到的radmin密码的hash值
后按F9 运行看看 哈哈 是不是 搞定拉
这个方法 局限性很小 一般 的webshell都能 查看radmin的注册表
或者利用wscript.shell 导出radmin的密码 就可以进行欺骗了
比起 你暴力破解 不知道要省多少倍......

令我觉得惊讶的就是OD除了能破解软件以外,还能有这方面用途谁用了我的名字...我还得在我名字后加1才行....
帖子110 精华2 积分3310 阅读权限100 性别男 在线时间191 小时 注册时间2007-4-19 最后登录2008-7-18 查看详细资料引用 报告 回复 TOP

消失再消失
荣誉会员

TOP

首先感谢追寻帮我发这个帖子,有看webshell的可以短信通知我.
to楼上,mysql目录没有找到.
下面是我搜集的信息.
1,目标系统

OS Name:                   Microsoft(R) Windows(R) Server 2003, Enterprise Edition
OS Version:                5.2.3790 Service Pack 2 Build 3790
2,运行的服务没办法查看,net start运行后无回显,其他命令都正常.

3,扩展映射asp,php,aspx

4,端口

  TCP    0.0.0.0:21             0.0.0.0:0              LISTENING       1624
  TCP    0.0.0.0:25             0.0.0.0:0              LISTENING       1624
  TCP    0.0.0.0:80             0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       792
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:1002           0.0.0.0:0              LISTENING       1836
  TCP    0.0.0.0:1041           0.0.0.0:0              LISTENING       1624
  TCP    0.0.0.0:1043           0.0.0.0:0              LISTENING       548
  TCP    0.0.0.0:1089           0.0.0.0:0              LISTENING       1624
  TCP    0.0.0.0:1093           0.0.0.0:0              LISTENING       1624
  TCP    0.0.0.0:1248           0.0.0.0:0              LISTENING       1696
  TCP    0.0.0.0:2499           0.0.0.0:0              LISTENING       920
  TCP    0.0.0.0:2967           0.0.0.0:0              LISTENING       2036
  TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING       2904
  TCP    0.0.0.0:4899           0.0.0.0:0              LISTENING       1892
  TCP    0.0.0.0:8693           0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:13722          0.0.0.0:0              LISTENING       1752
  TCP    0.0.0.0:13724          0.0.0.0:0              LISTENING       1660
  TCP    0.0.0.0:13782          0.0.0.0:0              LISTENING       1660
  TCP    0.0.0.0:13783          0.0.0.0:0              LISTENING       1660
  TCP    127.0.0.1:1042         0.0.0.0:0              LISTENING       1752
  TCP    127.0.0.1:1187         0.0.0.0:0              LISTENING       3332
UDP    0.0.0.0:161            *:*                                    2008
  UDP    0.0.0.0:445            *:*                                    4
  UDP    0.0.0.0:500            *:*                                    548
  UDP    0.0.0.0:1025           *:*                                    864
  UDP    0.0.0.0:1026           *:*                                    864
  UDP    0.0.0.0:1040           *:*                                    2008
  UDP    0.0.0.0:1716           *:*                                    864
  UDP    0.0.0.0:3456           *:*                                    1624
  UDP    0.0.0.0:4500           *:*                                    548
  UDP    127.0.0.1:123          *:*                                    880
  UDP    127.0.0.1:1027         *:*                                    548
  UDP    127.0.0.1:1175         *:*                                    488
  UDP    127.0.0.1:3456         *:*                                    1624
  UDP    208.109.xxx.171:123    *:*                                    880
  UDP    208.109.xxx.171:137    *:*                                    4
  UDP    208.109.xxx.171:138    *:*                                    4
5,当前进程

Image Name                     PID Session Name        Session#    Mem Usage
========================= ======== ================ =========== ============
System Idle Process              0                            0         28 K
System                           4                            0        328 K
smss.exe                       412                            0        452 K
csrss.exe                      460                            0      6,796 K
winlogon.exe                   488                            0     12,580 K
services.exe                   536                            0     36,492 K
lsass.exe                      548                            0     17,320 K
svchost.exe                    724                            0      3,328 K
svchost.exe                    792                            0      4,640 K
svchost.exe                    864                            0      7,112 K
svchost.exe                    880                            0      6,032 K
svchost.exe                    920                            0     50,032 K
ccSetMgr.exe                   976                            0      4,132 K
ccEvtMgr.exe                  1004                            0      3,984 K
SPBBCSvc.exe                  1144                            0      3,792 K
spoolsv.exe                   1308                            0      5,244 K
msdtc.exe                     1332                            0      4,448 K
DefWatch.exe                  1480                            0      5,208 K
svchost.exe                   1508                            0      2,452 K
inetinfo.exe                  1624                            0     63,204 K
bpinetd.exe                   1660                            0      3,892 K
pNSClient.exe                 1696                            0     12,888 K
bpjava-msvc.exe               1752                            0      3,664 K
watchdog.exe                  1808                            0      1,476 K
ProcessMonitorService.exe     1828                            0      3,420 K
python.exe                    1836                            0     21,140 K
svchost.exe                   1880                            0      2,240 K
r_server.exe                  1892                            0      4,796 K
SavRoam.exe                   1916                            0      5,172 K
snmp.exe                      2008                            0      5,708 K
Rtvscan.exe                   2036                            0     69,736 K
svchost.exe                   2352                            0     19,804 K
svchost.exe                   2904                            0      5,148 K
svchost.exe                   2984                            0      4,284 K
alg.exe                       3332                            0      3,212 K
wmiprvse.exe                  3440                            0      5,844 K
logon.scr                     5884                            0      1,928 K
wmiprvse.exe                 15632                            0     10,728 K
cisvc.exe                    22976                            0      4,964 K
cidaemon.exe                 18640                            0        488 K
cidaemon.exe                  9352                            0      2,036 K
w3wp.exe                     30936                            0     43,468 K
w3wp.exe                      2948                            0     39,028 K
w3wp.exe                     23608                            0     35,104 K
cmd.exe                      32564                            0      4,372 K
w3wp.exe                      3856                            0    136,156 K
w3wp.exe                     26008                            0     98,036 K
w3wp.exe                     15408                            0     35,432 K
w3wp.exe                     23720                            0    106,640 K
w3wp.exe                     19584                            0     77,408 K
w3wp.exe                      6020                            0     41,752 K
w3wp.exe                     12252                            0     12,296 K
w3wp.exe                      6852                            0     13,756 K
w3wp.exe                     12028                            0    166,096 K
w3wp.exe                     23772                            0     51,756 K
w3wp.exe                     28468                            0     78,304 K
w3wp.exe                     11524                            0     89,280 K
w3wp.exe                     32308                            0     74,144 K
w3wp.exe                      8740                            0      9,280 K
w3wp.exe                      6920                            0     38,684 K
w3wp.exe                     12832                            0     14,672 K
w3wp.exe                      6896                            0     58,876 K
w3wp.exe                     29808                            0    230,904 K
w3wp.exe                     20932                            0     34,044 K
w3wp.exe                     28836                            0    128,808 K
w3wp.exe                     27636                            0     71,420 K
w3wp.exe                     14332                            0     32,072 K
w3wp.exe                      4700                            0     56,852 K
w3wp.exe                     12156                            0     40,004 K
w3wp.exe                     21636                            0    105,448 K
w3wp.exe                      4928                            0     26,636 K
w3wp.exe                     18000                            0     10,244 K
w3wp.exe                      6780                            0     53,516 K
w3wp.exe                     30764                            0    199,392 K
w3wp.exe                       612                            0     73,648 K
w3wp.exe                      2020                            0     50,384 K
w3wp.exe                      5148                            0    292,428 K
w3wp.exe                      6648                            0     23,736 K
w3wp.exe                      6076                            0     90,388 K
w3wp.exe                     31128                            0     10,904 K
w3wp.exe                     26780                            0     41,088 K
w3wp.exe                     25864                            0     13,488 K
w3wp.exe                     23452                            0     46,068 K
w3wp.exe                     21380                            0     55,420 K
w3wp.exe                     31996                            0     19,628 K
w3wp.exe                      1672                            0      9,132 K
w3wp.exe                     27712                            0     10,408 K
w3wp.exe                     11164                            0     48,024 K
bpbkar32.exe                   292                            0     22,656 K
w3wp.exe                     10700                            0     10,376 K
vssvc.exe                     8452                            0      6,924 K
svchost.exe                   5896                            0      3,872 K
cidaemon.exe                 31904                            0        928 K
w3wp.exe                      2452                            0     10,932 K
w3wp.exe                     11664                            0     13,368 K
w3wp.exe                     18228                            0      8,964 K
w3wp.exe                      4880                            0     16,164 K
w3wp.exe                      5080                            0      8,912 K
w3wp.exe                      6416                            0     13,872 K
cmd.exe                      12408                            0      1,780 K
tasklist.exe                 32276                            0      4,136 K
6,set结果

ALLUSERSPROFILE=C:\Documents and Settings\All Users
APP_POOL_ID=HostingAppPool21_ASPNET2
ClusterLog=C:\WINDOWS\Cluster\cluster.log
CommonProgramFiles=C:\Program Files\Common Files
COMPUTERNAME=P3SWH129
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
NUMBER_OF_PROCESSORS=4
OS=Windows_NT
Path=C:\Program Files\VERITAS\NetBackup\bin\;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 15 Stepping 11, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0f0b
ProgramFiles=C:\Program Files
PROMPT=$P$G
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=d:\temp
TMP=d:\temp
USERPROFILE=C:\Documents and Settings\Default User
windir=C:\WINDOWS
7,当前安装程序

C:\Program Files\ 无权限
这个是开始菜单下的程序列表
accessories
administrative tools
microsoft asp.net 2.0 ajax extensions
Microsoft SOAP Toolkit Version 3
startup
symantec client security
veritas netbackup
winzip
desktop.ini

TOP

有MYSQL数据库吗?win系统下面可以用mysql提权,system权限,支持PHP,你就传个PHP后门,直接system权限

TOP

返回列表