笔者最近接到一个任务需要对公司内网使用Radmin机器弱口令进行排查，摸索一番发现检测方法并不简单，记录下和大家分享。

0x1 Radmin初接触

Radmin是一个类似RDP的Windows远程工具，分为server端和client端。需要远程的服务器上安排Radmin Server，默认监听端口为4899，访问客户端上安装Radmin View，客户端填写服务器地址、账号和密码即可远程访问。

接到任务后排查思路是：

1. 在网上找到大神开发的检测工具
2. 收集常用弱口令字典
3. 使用检测工具对目标服务器进行破解尝试

本着不重复造轮子的互联网思维，在网上找了一圈，结果发现事情并没有想象的那么简单，网上Radmin相关的文章少之又少，工具更别说，基本上没有（后面在同事的帮助下找到两三个工具，要么是无法打开，要么是行为实在可疑，如果你没办法保证工具的安全，最好谨慎使用，不然本来是解决问题，结果确带来了新的问题，这就得不偿失了），看来没办法像排查RDP直接使用暴力破解工具进行排查。

就在愁眉不展之际，突然想到，对于RDP、SSH这类弱口令排查因为网上脚本工具太多所以咱们能很轻易获取脚本工具进行排查，但这些工具本质上是通过client端进行口令破解尝试。那现在服务器已经在咱们手上呢，是不是可以换个思路，从sever端入手呢。

0x2 从Radmin Server端入手

用户需要在Radmin Server配置好远程账号和口令，有配置必然要将配置信息保存在一个地方。接下来排查思路为：

1. 分析Radmin Server账号口令信息保存位置
2. 使用服务器上HIDS获取Server端账号口令信息
3. 对账号口令信息进行判断，确认是否使用弱口令

说干就干，在虚拟机上安装好Radmin Server，这里使用微软ProcessMonitor对配置信息进行分析。

Process Monitor

Radmin Server账号信息保存在注册表 HKLM\SOFTWARE\WOW6432Node\Radmin\v3.0\Server\Parameters\Radmin Security\ 下，1为第一个用户，2为第二个用户。

注册表

使用CMD命令获取键值

REG QUERY "HKLM\\SOFTWARE\\WOW6432Node\\Radmin\\v3.0\\Server\\Parameters\\Radmin Security\\1"

查询键值

虽然数据有做加密处理，但其实咱们不用太关心加密算法。可以使用需要排查的账号和口令提前生成加密数据，然后直接拿这些数据与服务器获取数据进行比对，如果相同则说明使用相同的账号和口令，即判定为使用弱口令

结果，，，再多次尝试后发现，使用相同的账号和口令，同一机器每次生成的注册表键值是不一样的。好像并没这么简单，Radmin安全性确实做得可以，官网上说Radmin诞生的17年里，从未出现过漏洞，看来此言不假。

我在测试过程发现Radmin Viewer自身是不支持记住密码，官方给的回复是，Radmin Viewer没有记住密码选项，未来也不会有，因为我们如果有这个功能就会有很多人使用，结果就是任何人都可以使用这台记住密码的计算机访问他的所有Radmin Server查看他们的所有机密信息。黑客也可能入侵你的设备获取加密的密码，因为有记住密码功能就需要将密码保存到本地，即使加密也会被破解，所以有记住密码功能可能会是一个很大的漏洞。好吧，确实6。

0x3 分析注册表键值信息

既然没办法直接拿键值进行比对，那只能对键值信息做进一步分析。

正好在网上检索到一篇文章 cracking-radmin-server-3-passwords，再次说明不要重复造轮子，要站在前人的肩膀上。

通过文章可以知道，Radmin Server会对账号密码加盐进行加密，难怪每次生成的键值不一样。通过文中脚本，可以解析出键值里面账号信息、盐值以及生成的加密Hash。

解析账号信息

同时文章给出了针对Hash暴力破解方法，所以接下来思路调整为：

1. 获取服务器上Radmin Sever保存账号信息的注册表键值
2. 对键值进行解析，解析出账号、盐和Hash信息
3. 使用解析账号、盐和我们提供的弱口令按文中的算法进行加密生成Hash
4. 拿我们生成的Hash与解析的Hash进行比对，如果相同刚说明使用弱口令，反之则没有

0x4 最终效果

在Radmin Server上配置用账号和口令

Radmin配置测试用户

读取注册表键值信息

CMD查询注册表

将键值信息和可能的口令填写上

键值信息和可能的口令

脚本进行比对

使用脚本比对

0x5 参考链接

1. ProcessMonitor https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon
2. cracking-radmin-server-3-passwords https://www.synacktiv.com/publications/cracking-radmin-server-3-passwords.html
3. Radmin3-Password-Cracker https://github.com/synacktiv/Radmin3-Password-Cracker
4. radmin_password_check.py https://github.com/xbaogua/radmin_password_check/blob/main/radmin_password_check.py