步骤二:用opentelnet打开远程主机Telnet服务、修改目标主机端口、去除NTLM验证。
无论远程主机是否开启“Telnet服务”,入侵者都能够通过工具opentelnet来解决。比如,通过“opentelnet //192.168.27.129 administrator "" 1 66”命令为IP地址为192.168. 27.129的主机去除NTLM认证,开启Telnet服务,同时又把Telnet默认的23号登录端口改成66号端口。
步骤三:把所需文档(instsrv.exe、AProMan.exe)拷贝到远程主机。
首先建立IPC$,然后通过映射网络硬盘的方法把所需文档拷贝、粘贴到远程电脑的c:/winnt文档夹中,具体过程如图所示。
拷贝成功后,如图所示。
步骤四:Telnet登录。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
在MS-DOS中键入命令“telnet 192.168.27.129 66”来登录远程主机192.168.27.129。
步骤五:杀死防火墙进程。
假如入侵者需要把类似木马的程式拷贝到远程主机并执行,那么他们会事先关闭远程主机中的杀毒防火墙。虽然这里没有拷贝类似木马的程式到远程主机,但还是要介绍一下这一过程。当入侵者登录成功后,他们会进入到c:/winnt目录中使用AProMan程式。首先通过命令AProMan –A查看任何进程,然后找到杀毒防火墙进程的PID,最后使用AProMan –t [PID]来杀掉杀毒防火墙。
步骤六:另外安装更为隐蔽的Telnet服务。
为了事后仍然能登录到该电脑,入侵者在第一次登录之后都会留下后门。这里来介绍一下入侵者如何通过安装系统服务的方法来让Telnet服务永远运行。在安装服务之前,有必要了解一下Windows操作系统是如何提供“Telnet服务”的。打开“电脑管理”,然后查看“Telnet服务”属性,如图示。
在“Telnet的属性”窗口中,能够看到其中“可执行文档的路径”指向“C:/WINNT/ SYSTEM32/tlntsvr.exe”。可见,程式tlntsvr.exe就是Windows系统中专门用来提供“Telnet服务”的。也就是说,假如某服务指向该程式,那么该服务就会提供Telnet服务。因此,入侵者能够自定义一个新服务,将该服务指向tlntsvr.exe,从而通过该服务提供的Telnet服务登录,这样做后,即使远程主机上的Telnet服务是被禁用的,入侵者也能够毫无阻碍的登录到远程电脑,这种方法被称之为Telnet后门。下面就介绍一下上述过程是如何实现的。首先进入instsrv所在目录,如图所示。
然后使用instsrv.exe建立一个名为“SYSHEALTH”的服务,并把这个服务指向C:/WINNT z/SYSTEM32/tlntsvr.exe,根据instsrv.exe的用法,键入命令“instsrv.exe SYSHEALTH C:/WINNT/SYSTEM32/tlntsvr.exe”,如图所示。
一个名为“SYSHEAHTH”的服务就这样建立成功了。虽然从表面看上去该服务和远程连接不存在任何关系,但是实际上该服务是入侵者留下的Telnet后门服务。
通过“电脑管理”能够看到该服务已添加在远程电脑上。入侵者一般会把这个服务的启动类型配置成“自动”,把原来的“Telnet服务”停止并禁用,如图所示。
通过验证可知,虽然远程主机上的Telnet服务已被停止并禁用,但入侵者仍然能够通过Telnet来控制远程主机。通过这些修改,即使管理员使用“netstat –n”命令来查看开放端口号也看不出66端口正在提供Telnet服务。
另外,这里顺便介绍一下netstat –n命令。该命令用来查看本地机当前连接情况,如图所示。其中,“Proto”列为当前连接的协议类型,如TCP协议和UDP协议。“Local Address”列为本地主机的IP地址,从图可见,本地主机有两个IP地址,分别为“192.168.0.2”和“192.168.27.1”。“Foreign Address”列为远程主机IP地址。“State”列为当前连接状态,其中包括ESTABLISHED(已建立),TIME_WAIT(等待),SYN_SENT(正在连接)等状态。
常见问题和解答
1.问:虽然获得远程主机的用户名和密码,但是使用opentelnet连接的时候失败,如图所示,为什么?
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
