黑客攻击与防范(Telnet高级入侵)5.pptVIP

《信息安全技术》 Telnet入侵杀手锏 从前面的介绍可以看出，即使计算机使用了 NTLM验证，入侵者还是能够轻松地去除NTLM验证来 实现Telnet登录。如果入侵者使用23号端口登录，管 理员便可以轻易地发现他们，但不幸的是，入侵者通 常不会通过默认的23号端口进行Telnet连接。那么入 侵者究竟如何修改Telnet端口，又如何修改Telnet服 务来隐蔽行踪呢? opentelnet （1） opentelnet简介 Opentelnet专门用来解除telnet的NTLM认证，方便快捷，不用建立 IPC$连接、不必考虑远程计算机是否正在运行telnet服务，只要有用户名和 密码，并且主机开放IPC$连接就行了，是入侵者经常使用的telnet登录工 具。不过使用opentelnet打开的telnet服务，在目标主机重启动后不会自动 运行。 （2） opentelnet的用法 Opentelnet.exe \\server 帐号密码NTLM认证方式 telnet端口 （3）参数说明 “server”:目标主机IP地址 “telnet端口”：更改telnet的服务端口。telnet 的默认服务端口是23。 “NTLM认证方式”： 0：不使用NTLM身份验证。 1：先尝试NTLM身份验证。如果失败，再使用用户名和密码。 2：只使用NTLM身份验证。 Telnet 高级入侵全攻略 1、所需工具 X-Scan：用来扫出存在NT弱口令的主机。 opentelnet：用来去NTLM验证、开启Telnet服务、 修改Telnet服务端口。 AProMan：用来查看进程、杀死进程。 instsrv：用来给主机安装服务。 (2)instsrv简介 instsrv是一款用命令行就可以安装、卸载服务的程序，可以自 由指定服务名称和服务所执行的程序。 instsrv的用法如下，更详细的用法如图4-40所示。 　　安装服务：instsrv 服务名称 执行程序的位置 　　卸载服务：instsrv 服务名称 REMOVE 步骤一：扫出有NT弱口令的主机。在X-Scan的“扫描模 块”中选中“NT-SERVER弱口令”，如图4-41所示。 然后在“指定IP范围”内输入要扫描主机的IP，如图4-42 所示。 等待一段时间后，得到扫描结果如图4-43所示。 步骤二：用opentelnet打开远程主机Telnet服务、修改目标主 机端口、去除NTLM验证。 无论远程主机是否开启“Telnet服务”，入侵者都可以通 过工具opentelnet来解决。比如，通过“opentelnet \\192.168.46.128 administrator “” 1 66”命令为IP地址 为192.168.46.128的主机去除NTLM认证，开启Telnet服务，同 时又把Telnet默认的23号登录端口改成66号端口,如图4-44所 示。 步骤三：把所需文件(instsrv.exe、AProMan.exe)拷贝到远程 主机。 　　首先建立IPC$，然后通过映射网络硬盘的方法把所需文件 拷贝、粘贴到远程计算机的c:\winnt文件夹中 步骤四：Telnet登录。 　　在MS-DOS中键入命令“telnet 192.168.46.128 66”来登 录远程主机192.168.46.128。 步骤五：杀死防火墙进程。 　　如果入侵者需要把类似木马的程序拷贝到远程主机并执 行，那么他们会事先关闭远程主机中的杀毒防火墙。虽然这里 没有拷贝类似木马的程序到远程主机，但还是要介绍一下这一 过程。当入侵者登录成功后，他们会进入到c:\winnt目录中使 用AProMan程序。首先通过命令 AProMan –A查看所有进 程，然后找到杀毒防火墙进程的PID，最后使用AProMan –t [PID]来杀掉杀毒防火墙。 步骤六：另外安装更为隐蔽的Telnet服务。 　　为了事后仍然能登录到该计算机，入侵者在第一次登录之 后都会留下后门。这里来介绍一下入侵者如何通过安装系统服 务的方法来让Telnet服务永远运行。在安装服务之前，有必要 了解一下Windows操作系统是如何提供“Telnet服务”的。打 开“计算机管理”，然后查看“Telnet服务”属性。 在“Telnet 的属性”窗口中，可以看到其中“可执行文件 的路径”指向“C:\WINNT\ SYSTEM32\tlntsvr.exe”。可 见，程序tlntsvr.exe就是Windows系统中专门用来提供 “Tel