WIN2K的Telnet服務(wù)Hacking

Windows 2000 是默認(rèn)安裝了 Telnet 服務(wù)的，但是并沒有默認(rèn)啟動(dòng)。很多人在問得到administrator帳號(hào)后怎么遠(yuǎn)程啟動(dòng)TELNET，怎么運(yùn)行ncx.exe 后門等等，以方便遠(yuǎn)程執(zhí)行各種命令。方法很多。
    很多人使用小榕的流光工具，上傳一個(gè)NCX，開99端口，利用任務(wù)計(jì)劃服務(wù)AT 來啟動(dòng)NCX，這里還需要查詢遠(yuǎn)程服務(wù)器的時(shí)間，根據(jù)時(shí)間來執(zhí)行AT的程序運(yùn)行時(shí)間，如果不是使用AT，那么需要先打開AT服務(wù)。但是 NCX使用起來不是很方便，顯示不好，如果要使用微軟自己的Telnet ，那么需要先上傳NTLM.exe，運(yùn)行NTLM.exe來修改微軟Telnet服務(wù)的NTLM認(rèn)證方式，總的說來，非常麻煩。

    既然在windows 2000下，微軟自己有TELNET服務(wù)，那么就利用起來嘛。如果我們得到administrator 帳號(hào)，對(duì)windows2000來說，還有什么能夠攔得住呢。

    如果能夠直接啟動(dòng)Telnet 服務(wù)，遇到得第一大問題就是身份驗(yàn)證了。它默認(rèn)是按照 NTLM方式進(jìn)行身份認(rèn)證的，因此雖然可以Telnet過去，但是，NTLM認(rèn)證一下子就失敗了，也就退出了Telnet ，還沒等到輸入帳號(hào)密碼呢。這里應(yīng)該認(rèn)識(shí)認(rèn)識(shí)NTLM認(rèn)證方式。

以下配置將使用 NTLM 作為身份驗(yàn)證機(jī)制：
Windows 2000 Professional 客戶端向 Windows NT 4.0 的域控制器驗(yàn)證身份。
Windows NT 4.0 Workstation 客戶端向 Windows 2000 域控制器驗(yàn)證身份。
Windows NT 4.0 Workstation 客戶端向 Windows NT 4.0 域控制器驗(yàn)證身份。
Windows NT 4.0 域中的用戶向 Windows 2000 域驗(yàn)證身份。
另外，NTLM 是為沒有加入到域中的計(jì)算機(jī)（如單機(jī)服務(wù)器和工作站）提供的身份驗(yàn)證協(xié)議。

NTLM身份認(rèn)證過程是：
1、客戶端首先在本地加密自己的密碼成為密碼散列
2、客戶端向服務(wù)器發(fā)送自己的帳號(hào)，這個(gè)帳號(hào)是沒有經(jīng)過加密的，明文直接傳輸。
3、服務(wù)器產(chǎn)生一個(gè)16位的隨機(jī)數(shù)字發(fā)送給客戶端，作為一個(gè) challenge
4、客戶端再用加密后的密碼散列來加密這個(gè) challenge ，然后把這個(gè)返回給服務(wù)器。作為 response 。
5、服務(wù)器把用戶名、給客戶端的challenge 、客戶端返回的 response 這三個(gè)東西，發(fā)送域控制器
6、域控制器用這個(gè)用戶名在 SAM密碼管理庫(kù)中找到這個(gè)用戶的密碼散列，然后使用這個(gè)密碼散列來加密 challenge。
7、域控制器比較兩次加密的 challenge ，如果一樣，那么認(rèn)證成功。

    根據(jù)NTLM認(rèn)證過程，我們能夠得到一個(gè)比較簡(jiǎn)單的方法來使用微軟自己的Telnet 服務(wù)。但是它并不是默認(rèn)運(yùn)行的，所以首先需要遠(yuǎn)程把它啟動(dòng)起來（使用AT啊）。然后根據(jù)NTLM身份認(rèn)證的特點(diǎn)，把本地的帳號(hào)和密碼修改成服務(wù)器上的帳號(hào)和密碼，然后重新啟動(dòng)，用修改的帳號(hào)和密碼登錄，然后再連接服務(wù)器的Telnet。這樣經(jīng)過NTLM認(rèn)證，就能夠成功了。不過這個(gè)方法，雖然簡(jiǎn)單，但是顯得太笨了，還要修改密碼重新啟動(dòng)。

要得到更自由和方便的辦法，我們需要熟悉 Telnet 服務(wù)器的配置情況。

在注冊(cè)表中的這個(gè)位置是關(guān)于Telnet Server的相關(guān)配置    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0

比如下面這些項(xiàng)值：

鍵LoginScript：顯示 Telnet 服務(wù)器登錄腳本的路徑位置。默認(rèn)的位置就是“%systemroot%\System32\login.cmd”，當(dāng)然，可以把腳本內(nèi)容改寫了，這樣登錄進(jìn)Telnet的歡迎屏幕就不一樣，鍵AllowTrustedDomain：是否允許域用戶訪問，默認(rèn)值是1，允許信任域用戶訪問。可以修改為下面這些值：
0: 不允許域用戶訪問（只允許本地用戶）。
1: 允許域用戶從具有信任關(guān)系的域訪問。

鍵DefaultDomain：可以對(duì)與該計(jì)算機(jī)具有信任關(guān)系的任何域設(shè)置。如果 AllowTrustedDomain 設(shè)為 1，并且要本地域?yàn)槟�認(rèn)域，請(qǐng)將值設(shè)為“.”。默認(rèn)就是"."

鍵DefaultShell：shell 的路徑位置。默認(rèn)是： %systemroot%\System32\Cmd.exe /q /k ，修改吧，可以玩人。

鍵MaxFailedLogins：在連接終止之前顯示嘗試登錄失敗的最大次數(shù)。默認(rèn)是3。

鍵NTLM：NTLM身份驗(yàn)證選項(xiàng)。默認(rèn)是2。可以有下面這些值：
0: 不使用 NTLM 身份驗(yàn)證。
1: 先嘗試 NTLM 身份驗(yàn)證。如果失敗，再使用用戶名和密碼。
2: 只使用 NTLM 身份驗(yàn)證。

鍵TelnetPort：顯示 telnet 服務(wù)器偵聽 telnet 請(qǐng)求的端口。默認(rèn)是：23，當(dāng)然，你可以更改為一個(gè)其他的端口，這樣別人可能就不知道是不是開了telnet服務(wù)了。這個(gè)項(xiàng)也能讓我們利用Telnet 服務(wù)器更自由了。

在Telnet服務(wù)器配置這些參數(shù)中，可以使用tlntadmn.exe命令來進(jìn)行非常方便的配置，配置后需要重新啟動(dòng)Telnet服務(wù)。

    根據(jù)上面這些關(guān)于Telnet 服務(wù)的配置，我寫了兩個(gè)小工具 OpenTelnet.exe 和 ResumeTelnet.exe 。這兩個(gè)工具中，OpenTelnet.exe是用來啟動(dòng)遠(yuǎn)程服務(wù)器的Telnet的，Resumetelnet.exe是用來把修改了的配置都返回到默認(rèn)配置上去，關(guān)閉Telnet服務(wù)等（刪除足跡嘛）。兩個(gè)工具配合起來使用。

使用這兩個(gè)程序，你必須先獲得管理員密碼和帳號(hào)，同時(shí)服務(wù)器開放IPC$共享。只能對(duì)WIN2K（XP）使用，NT，沒測(cè)試過。

Opentelnet.exe的用法：
OpenTelnet.exe \\server <帳號(hào)> <密碼> <NTLM認(rèn)證方式> <Telnet端口>

比如下面的：（命令意思是連接192.168.1.2，帳號(hào)administrator，密碼123456 ，0表示不使用NTLM認(rèn)證方式，Telnet的端口是90）

C:\>OpenTelnet.exe \\192.168.1.2 administrator 123456 0 90
當(dāng)程序運(yùn)行后得到：
BINGLE!!!Yeah!!
Telnet Port is 90. You can try:"telnet ip 90", to connect the server!
Disconnecting server...Successfully!

    就說明Telnet服務(wù)啟動(dòng)成功，并且使用的端口是90。這樣，我們就能夠得到一個(gè)開90端口的Windows 2000 Telnet服務(wù)器。

Telnet 192.168.1.2 90
就可以登錄上去了，而且不使用 NTLM認(rèn)證方式。

ResumeTelnet.exe，是用來恢復(fù)Telnet配置的，并關(guān)閉Telnet服務(wù)器，它的用法是：
ResumeTelnet.exe \\ip <帳號(hào)> <密碼>

例如：
C:\>ResumeTelnet.exe \\192.168.21.2 administrator 123456
如果程序運(yùn)行后顯示：
BINGLE!!!
The config of remote telnet server is resumed!
Disconnecting server...Successfully!
就說明服務(wù)器端Telnet 的配置又返回到原來的狀態(tài)中了。

    Windows 2000有很多好的功能，非常方便哦！

億恩科技地址(ADD)：鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]