教你如何通过Radmin拿服务器

Cambrian的Radmin：服务器管理的卓越之选

你是否曾对远程桌面控制和文件传输的速度感到失望？那么，Radmin将会是你理想的选择。无论是远程桌面控制还是文件传输，其速度之快，方便之至，令人印象深刻。正因为其出色的性能，许多服务器都安装了Radmin。

如今，想象一下一个服务器，它的默认端口为4899，无需密码即可进入。你是否知道这样的服务器在哪里寻找？大家都知道，Radmin的密码是经过32位md5加密后存放在注册表中的。具体的键值位于HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters\。

那么，在攻陷一台web服务器时，我们如何进一步提权呢？如果你选择暴力破解Radmin密码，那也是一种方法，但需要耗费大量的时间和精力。很少有人愿意花上几星期、几个月甚至几年的时间去破解一个密码。

最近，我从朋友那里得到了一些资料，介绍了一种不需要破解Radmin密码就能进入服务器的方法。这就是所谓的“密码欺骗”。至于这一方法是由哪位高手发现的，我并不清楚。但我已经用这个思路成功进入了多台服务器。想知道这是如何实现的吗？那就继续往下看。

前提条件：你需要拥有一个webshell，最好有读取注册表的权限。如果不能读取Radmin的注册表，至少要保证wscript.shell组件没有被删除，这样我们才能调用cmd导出Radmin的表值。

工具：Radmin控制端和OllyDBG反汇编。

使用OllyDBG打开Radmin控制端（客户端）。然后执行ctrl f搜索JMP EAX，按照一定步骤操作。在这个过程中，你可以通过输入特定的常量值（如10325476）来查找特定的代码段。

接下来，当你连接到要入侵的服务器时，会弹出提示框要求输入密码。你可以使用Radmin连接服务器，并输入任意密码。在你输入密码的OllyDBG也会激活。这时，你需要按照特定的步骤操作，找到Radmin密码的hash值并替换。

这个方法对于一般的webshell都能适用，只要能够查看Radmin的注册表或者利用wscript.shell导出密码，就可以进行欺骗。相比于暴力破解，这种方法要高效得多。

Radmin是一款出色的服务器管理工具，无论是在远程桌面控制还是文件传输方面都有出色的表现。而上述方法则为我们提供了一种更为高效的进入服务器的方式，大大节省了时间和精力。