對於Telnet的理解,不同的人持有不同的觀點。Telnet可以看作是壹種通信協議,但是對於入侵者來說,Telnet只是壹個遠程登錄的工具。壹旦入侵者與遠程主機建立了Telnet連接,入侵者就可以使用目標主機上的軟硬件資源,而入侵者的本地機器只相當於壹個帶有鍵盤和顯示器的終端。
2.入侵者用Telnet做什麽?
(1)Telnet是控制主機的第壹手段。
如果入侵者想要在遠程主機上執行命令,他需要建立壹個IPC$連接,然後使用net time命令檢查系統時間,最後使用at命令建立壹個調度任務來完成遠程執行命令。雖然這種方法可以遠程執行命令,但相比之下,Telnet對入侵者來說要方便得多。壹旦入侵者與遠程主機建立Telnet連接,他就可以像控制本地計算機壹樣控制遠程計算機。可見Telnet是入侵者慣用的遠程控制方式。當他們想盡辦法獲取遠程主機的管理員權限時,壹般會使用Telnet登錄。
(2)用作跳板
入侵者稱隱形肉雞為“跳板”。他們經常使用這種方法從壹個肉雞登錄到另壹個肉雞,這樣他們的IP地址就不會在入侵過程中暴露。
3.關於NTLM驗證
因為Telnet太強大了,而且也是入侵者最常用的登錄方式之壹,微軟在Telnet中加入了認證,這就是所謂的NTLM認證。除了Telnet服務主機的用戶名和密碼之外,它還要求Telnet終端滿足NTLM身份驗證關系。NTLM認證大大增強了Telnet主機的安全性,就像壹塊絆腳石,將許多入侵者擋在門外。
4.Telnet語法
telnet [-a][-e escape char][-f日誌文件][-l用戶][-t term][主機[端口]]
-a試圖自動登錄。除了使用當前登錄的用戶名之外,與-l選項相同。
-e跳過字符以輸入telnet客戶提示。
-f客戶端登錄的文件名。
-l指定登錄遠程系統的用戶名。
遠程系統需要支持TELNET ENVIRON選項。
-t指定終端類型。
唯壹支持的終端類型是:vt100、vt52、ansi和vtnt。
Host指定要連接的遠程計算機的主機名或IP地址。
Port指定端口號或服務名。
5.使用Telnet登錄
登錄命令:telnet HOST [PORT]例如:telnet 61.152.158.13223(默認端口)。
斷開Telnet連接的命令:exit。
要成功建立Telnet連接,需要掌握遠程計算機上的帳戶和密碼,並且遠程計算機已經啟動了“Telnet服務”並取消了NTLM身份驗證。也可以使用特殊的Telnet工具進行連接,比如STERM、CTERM等工具。
6.Telnet典型入侵(如果對以下不太了解,可以簡單了解壹下)
1.Telnet典型入侵步驟
步驟1:建立IPC$連接。其中sysback是之前建立的後門賬戶。
步驟2:啟動遠程主機中禁用的Telnet服務。
第三步:斷開IPC$。
步驟4:刪除NTLM身份驗證。如果不刪除遠程計算機上的NTLM身份驗證,登錄遠程計算機時將會失敗。
然而,入侵者會使用各種方法使NTLM驗證無效。有很多方法可以除掉NTLM。以下是壹些常見的方法,可以看出入侵者是如何解除NTLM身份驗證的。
(1)方法1
首先,在本地計算機上建立壹個與遠程主機上相同的帳戶和密碼。
然後,轉到開始→程序→附件找到命令提示符,右鍵單擊命令提示符,然後選擇屬性。
選中“以其他用戶身份運行”前的框,然後單擊“確定”按鈕。然後,還是按照上面的路徑找到“命令提示符”,點擊鼠標左鍵打開,得到如圖所示的對話框。
如圖所示,鍵入用戶名和密碼。
單擊“OK”按鈕,進入MS-DOS界面,然後使用這個MS-DOS進行Telnet登錄。
輸入“telnet 192.168 . 27 . 128”並回車後,在得到的界面中輸入“Y”表示發送密碼並登錄,如圖。
最終結果是遠程主機為Telnet最終用戶打開壹個外殼,在這個外殼中輸入的命令將直接在遠程計算機上執行。
例如,鍵入“net user”命令查看遠程主機上的用戶列表。
(2)方法二
該方法使用工具NTLM.EXE來移除NTLM認證。首先與遠程主機建立IPC$連接,然後將NTLM.EXE復制到遠程主機,最後讓遠程計算機通過at命令執行NTLM.EXE。
在NTLM.EXE執行計劃任務後,您可以通過鍵入命令“telnet 192 . 168 . 27 . 128”登錄到遠程計算機。
最後得到登錄界面。
在登錄界面中輸入用戶名和密碼。如果用戶名和密碼正確,您將登錄到遠程計算機並獲得遠程計算機的外殼。
成功登錄。
此外,還可以使用ResumeTelnet.exe配套的程序ResumeTelnet.exe恢復遠程主機的NTLM認證,命令格式為“resume telnet . exe \ \ Server Sername Password”。
執行後,回顯顯示resumetelnet.exe關閉了目標主機的Telnet服務,並恢復了NTLM身份驗證。
遠程登錄高級入侵遊戲攻略
從前面的介紹可以看出,即使計算機使用NTLM認證,入侵者也可以很容易地解除NTLM認證,實現Telnet登錄。如果入侵者使用端口23登錄,管理員可以很容易地找到他們,但不幸的是,入侵者通常不會通過默認端口23進行Telnet。那麽入侵者是如何修改Telnet端口和Telnet服務來隱藏行蹤的呢?下面是壹些常見的例子來說明這壹過程,並介紹完成這壹過程所需的工具。
X-Scan:用於掃描出使用NT弱密碼的主機。
OpenTelnet:用於NTLM認證,打開Telnet服務,修改Telnet服務端口。
AProMan:用於查看和終止進程。
Instsrv:用於為主機安裝服務。
(1)AProMan簡介
AproMan可以通過命令行查看和查殺進程,不會被殺毒軟件查殺。比如,如果入侵者發現目標主機上正在運行殺毒軟件,會導致上傳的工具被殺毒軟件查殺,那麽他們會在上傳工具之前關閉殺毒防火墻。使用方法如下:
C:\AProMan.exe -a顯示所有進程。
C:\AProMan.exe -p顯示端口進程關聯(需要管理員權限)。
C:\AProMan.exe -t [PID]終止具有指定進程號的進程。
c:\ a proman . exe-f[文件名]將進程和模塊信息保存到壹個文件中。
2)instsrv簡介
Instsrv是壹個可以用命令行安裝和卸載服務的程序,可以自由指定服務名和服務執行的程序。instsrv的用法如下:
安裝服務:執行程序的位置>;
卸載服務:instsrv刪除
還有壹個優秀的遠程服務管理工具SC。它是壹個命令行工具,可以在本地查詢、啟動、停止和刪除遠程計算機上的服務。它的用法很簡單,這裏就不介紹了。這裏有壹個例子來介紹入侵者如何通過Telnet登錄並留下Telnet後門。
第壹步:用NT弱密碼掃描出主機。在X-Scan的“掃描模塊”中選擇“NT-服務器弱密碼”。
然後在“掃描參數”中指定掃描範圍從“192.168.27.2到192.168.27.253”。
等待壹段時間後,得到掃描結果。
步驟2:使用opentelnet打開遠程主機Telnet服務,修改目標主機端口,並刪除NTLM身份驗證。
無論遠程主機是否啟動“Telnet服務”,入侵者都可以通過工具opentelnet解決。比如通過命令“open telnet \ \ 192.168.27 . 129 administrator”“166”,是壹個IP地址為192.168.27 . 129的主機。
步驟3:將所需文件(instsrv.exe,AProMan.exe)復制到遠程主機。
首先建立IPC$,然後通過映射網絡硬盤將所需文件復制粘貼到遠程電腦的c:\winnt文件夾中。
復制成功後。
步驟4: Telnet登錄。
在MS-DOS中鍵入命令“telnet 192.168 . 27 . 129 66”,登錄到遠程主機192.168 . 27 . 129。
第五步:終止防火墻進程。
如果入侵者需要將類似特洛伊的程序復制到遠程主機並執行,他們會提前關閉遠程主機中的防病毒防火墻。盡管沒有類似特洛伊的程序拷貝到遠程主機,我還是想介紹壹下這個過程。入侵者登錄成功後,會進入c:\winnt目錄,使用AProMan程序。首先命令a proman–a檢查所有進程,然後找到殺毒防火墻進程的PID,最後使用a proman–t[PID]殺死殺毒防火墻。
第6步:安裝壹個更微妙的Telnet服務。
為了以後登錄電腦,入侵者總是在第壹次登錄後留下後門。以下是入侵者如何通過安裝系統服務使Telnet服務永遠運行。在安裝服務之前,需要了解Windows操作系統是如何提供“Telnet服務”的。打開計算機管理,然後查看Telnet服務屬性。
在Telnet的屬性窗口中,可以看到可執行文件的路徑指向“C:\WINNT\ SYSTEM32\tlntsvr.exe”。可以看出,tlntsvr.exe程序是專門用來在Windows系統中提供“遠程登錄服務”的。換句話說,如果壹個服務指向該程序,那麽該服務將提供Telnet服務。因此,入侵者可以定制新的服務並將其指向tlntsvr.exe,從而通過該服務提供的Telnet服務登錄。這樣做之後,即使遠程主機上的Telnet服務被禁用,入侵者也可以不受阻礙地登錄到遠程計算機。這種方法稱為Telnet後門。下面是上面的過程是如何實現的。首先輸入instsrv所在的目錄。
然後使用instsrv.exe建立壹個名為“SYSHEALTH”的服務,並將這個服務指向c:\ win ntz \ system32 \ tlntsvr.exe。根據instsrv.exe的用法,鍵入命令“instsrv . exe syshealth C:\ C:\ WINNT z \ SYSTEM32 \ tlntsvr . exe”。
名為“SYSHEAHTH”的服務已成功建立。雖然看似服務與遠程連接無關,但實際上是入侵者留下的Telnet後門服務。
通過“計算機管理”,您可以看到服務已經添加到遠程計算機。入侵者通常會將該服務的啟動類型設置為“自動”,並停止和禁用原來的“Telnet服務”。
通過驗證可以看出,雖然遠程主機上的Telnet服務已經被停止和禁用,但是入侵者仍然可以通過Telnet控制遠程主機。通過這些修改,即使管理員使用“netstat–n”命令檢查打開的端口號,也看不到66號端口正在提供Telnet服務,而這個命令通常可以用來判斷端口的連接狀態。