Telnet高级入侵攻略( 二 )


计划任务执行NTLM.EXE后,便可键入“telnet 192.168.27.128”命令来登录远程计算机,如图所示 。
最后得到登录界面,如图所示 。
在该登录界面中键入用户名和密码,假如用户名和密码正确,便会登录到远程计算;;机,得到远程计算机的Shell 。
成功登录后,得到如图所示的登录界面 。
另外,还可以使用与opentelnet.exe相配套的程序resumetelnet.exe来恢复远程主机的NTLM验证,命令格式为“ResumeTelnet.exe server sername passWord”,如图所示 。
执行后如图所示 。
根据图的回显可知,resumetelnet.exe关闭了目标主机的Telnet服务,恢复了NTLM验证 。
Telnet高级入侵全攻略从前面的介绍可以看出,即使计算机使用了NTLM验证,入侵者还是能够轻松地去除NTLM验证来实现Telnet登录 。假如入侵者使用23号端口登录,治理员便可以轻易地发现他们,但不幸的是,入侵者通常不会通过默认的23号端口进行Telnet连接 。那么入侵者究竟如何修改Telnet端口,又如何修改Telnet服务来隐蔽行踪呢?下面举一些常见的例子来说明这一过程,并介绍一下完成这一过程所需要的工具 。
è X-Scan:用来扫出存在NT弱口令的主机 。
è opentelnet:用来去NTLM验证、开启Telnet服务、修改Telnet服务端口 。
è AProMan:用来查看进程、杀死进程 。
è instsrv:用来给主机安装服务 。
(1)AProMan简介
AproMan以命令行方式查看进程、杀死进程,不会被杀毒软件查杀 。举个例子,假如入侵者发现目标主机上运行有杀毒软件,会导致上传的工具被杀毒软件查杀,那么他们就会要在上传工具前关闭杀毒防火墙 。使用方法如下:
c:AProMan.exe -a;;;;;;显示所有进程
c:AProMan.exe -p;;显示端口进程关联关系(需Administrator权限)
c:AProMan.exe -t [PID];;;;杀掉指定进程号的进程
c:AProMan.exe -f [FileName];;把进程及模块信息存入文件
(2)instsrv简介
instsrv是一款用命令行就可以安装、卸载服务的程序,可以自由指定服务名称和服务所执行的程序 。instsrv的用法如下,更具体的用法如图2-61所示 。
安装服务:instsrv <服务名称> <执行程序的位置>
卸载服务:instsrv <服务名称> REMOVE
还有另一款优秀的远程服务治理工具SC 。它属于命令行工具,可以在本地对远程计算机上的服务进行查询、启动、停止和删除 。它的用法很简单,这里不作介绍了 。下面通过实例来介绍入侵者如何实现Telnet登录并留下Telnet后门的过程 。
步骤一:扫出有NT弱口令的主机 。在X-Scan的“扫描模块”中选中“NT-SERVER弱口令”,如图所示 。
然后在“扫描参数中”指定扫描范围为“192.168.27.2到192.168.27.253”,如图2所示 。
等待一段时间后,得到扫描结果如图所示 。
步骤二:用opentelnet打开远程主机Telnet服务、修改目标主机端口、去除NTLM验证 。
无论远程主机是否开启“Telnet服务”,入侵者都可以通过工具opentelnet来解决 。比如,通过“opentelnet 192.168.27.129;;administrator "";;1 66”命令为IP地址为192.168. 27.129的主机去除NTLM认证,开启Telnet服务,同时又把Telnet默认的23号登录端口改成66号端口 。
步骤三:把所需文件(instsrv.exe、AProMan.exe)拷贝到远程主机 。
首先建立IPC$,然后通过映射网络硬盘的方法把所需文件拷贝、粘贴到远程计算机的c:winnt文件夹中,具体过程如图所示 。
拷贝成功后,如图所示 。
步骤四:Telnet登录 。
在MS-DOS中键入命令“telnet 192.168.27.129 66”来登录远程主机192.168.27.129 。
步骤五:杀死防火墙进程 。
假如入侵者需要把类似木马的程序拷贝到远程主机并执行,那么他们会事先关闭远程主机中的杀毒防火墙 。虽然这里没有拷贝类似木马的程序到远程主机,但还是要介绍一下这一过程 。当入侵者登录成功后,他们会进入到c:winnt目录中使用AProMan程序 。首先通过命令AProMan –A查看所有进程,然后找到杀毒防火墙进程的PID,最后使用AProMan –t [PID]来杀掉杀毒防火墙 。

推荐阅读