Radmin是一个类似RDP的Windows远程工具,分为server端和client端。需要远程的服务器上安排Radmin Server,默认监听端口为4899,访问客户端上安装Radmin View,客户端填写服务器地址、账号和密码即可远程访问。
接到任务后排查思路是:
本着不重复造轮子的互联网思维,在网上找了一圈,结果发现事情并没有想象的那么简单,网上Radmin相关的文章少之又少,工具更别说,基本上没有(后面在同事的帮助下找到两三个工具,要么是无法打开,要么是行为实在可疑,如果你没办法保证工具的安全,最好谨慎使用,不然本来是解决问题,结果确带来了新的问题,这就得不偿失了),看来没办法像排查RDP直接使用暴力破解工具进行排查。
就在愁眉不展之际,突然想到,对于RDP、SSH这类弱口令排查因为网上脚本工具太多所以咱们能很轻易获取脚本工具进行排查,但这些工具本质上是通过client端进行口令破解尝试。那现在服务器已经在咱们手上呢,是不是可以换个思路,从sever端入手呢。
用户需要在Radmin Server配置好远程账号和口令,有配置必然要将配置信息保存在一个地方。接下来排查思路为:
说干就干,在虚拟机上安装好Radmin Server,这里使用微软ProcessMonitor对配置信息进行分析。
Radmin Server账号信息保存在注册表 HKLM\SOFTWARE\WOW6432Node\Radmin\v3.0\Server\Parameters\Radmin Security\ 下,1为第一个用户,2为第二个用户。
使用CMD命令获取键值
虽然数据有做加密处理,但其实咱们不用太关心加密算法。可以使用需要排查的账号和口令提前生成加密数据,然后直接拿这些数据与服务器获取数据进行比对,如果相同则说明使用相同的账号和口令,即判定为使用弱口令
结果,,,再多次尝试后发现,使用相同的账号和口令,同一机器每次生成的注册表键值是不一样的。好像并没这么简单,Radmin安全性确实做得可以,官网上说Radmin诞生的17年里,从未出现过漏洞,看来此言不假。
我在测试过程发现Radmin Viewer自身是不支持记住密码,官方给的回复是,Radmin Viewer没有记住密码选项,未来也不会有,因为我们如果有这个功能就会有很多人使用,结果就是任何人都可以使用这台记住密码的计算机访问他的所有Radmin Server查看他们的所有机密信息。黑客也可能入侵你的设备获取加密的密码,因为有记住密码功能就需要将密码保存到本地,即使加密也会被破解,所以有记住密码功能可能会是一个很大的漏洞。好吧,确实6。
既然没办法直接拿键值进行比对,那只能对键值信息做进一步分析。
正好在网上检索到一篇文章 cracking-radmin-server-3-passwords,再次说明不要重复造轮子,要站在前人的肩膀上。
通过文章可以知道,Radmin Server会对账号密码加盐进行加密,难怪每次生成的键值不一样。通过文中脚本,可以解析出键值里面账号信息、盐值以及生成的加密Hash。
同时文章给出了针对Hash暴力破解方法,所以接下来思路调整为:
在Radmin Server上配置用账号和口令
读取注册表键值信息
将键值信息和可能的口令填写上
脚本进行比对
查找Web服务器漏洞
在Web服务器等非定制产品中查找漏洞时,使用一款自动化扫描工具是一个不错的起点。与Web应用程序这些定制产品不同,几乎所有的Web服务器都使用第三方软件,并且有无数用户已经以相同的方式安装和配置了这些软件。
在这种情况下,使用自动化扫描器发送大量专门设计的请求并监控表示已知漏洞的签名,就可以迅速、高效地确定最明显的漏洞。Nessus 是一款优良的免费漏洞扫描器,还有各种商业扫描器可供使用,如 Typhon 与 ISS。
除使用扫描工具外,渗透测试员还应始终对所攻击的软件进行深入研究。同时,浏览Security Focus、邮件列表Bugtrap和Full Disclosure等资源,在目标软件上查找所有最近发现的、尚未修复的漏洞信息。
还要注意,一些Web应用程序产品中内置了一个开源Web服务器,如Apache或Jetty。因为管理员把服务器看作他们所安装的应用程序,而不是他们负责的基础架构的一部分,所以这些捆绑服务器的安全更新也应用得相对较为缓慢。而且,在这种情况下,标准的服务标题也已被修改。因此,对所针对的软件进行手动测试与研究,可以非常有效地确定自动化扫描工具无法发现的漏洞。
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)