Всем привет, мы снова встретились, я ваш друг Цюаньчжаньцзюнь.
Что такое Телнет? У разных людей разные взгляды на Telnet. Telnet можно рассматривать как протокол связи, но для злоумышленников Telnet — это всего лишь инструмент удаленного входа. Как только злоумышленник устанавливает соединение Telnet с удаленным хостом, злоумышленник может использовать программные и аппаратные ресурсы на целевом хосте, а локальный компьютер злоумышленника эквивалентен только терминалу, имеющему только клавиатуру и монитор.
Зачем нужен телнет? Telnet предназначен для проверки доступности определенного порта. Когда мы разрабатываем, мы часто используем порт 8080. Затем вы можете запустить сервер и с помощью telnet проверить, доступен ли порт.
Протокол Telnet является членом семейства протоколов TCP/IP и является стандартным протоколом и основным методом для служб удаленного входа в Интернет. Он предоставляет пользователям возможность выполнять работу удаленного хоста на своем локальном компьютере. Используйте программу telnet на компьютере конечного пользователя для подключения к серверу. Пользователи терминалов могут вводить команды в программу telnet, и эти команды будут выполняться на сервере так, как если бы они были введены непосредственно в консоли сервера. Вы можете управлять сервером локально. Чтобы начать сеанс telnet, вам необходимо ввести имя пользователя и пароль для входа на сервер. Telnet — широко используемый метод удаленного управления веб-серверами.
Как выполнить команду telnet в Windows XP?
1. Нажмите «Пуск». → бегать → Введите CMD и нажмите Enter. 2、ВыходDOSВ интерфейсе,входитьtelnetтестпорт Заказ: telnet IP порт или telnet доменное имя порт, Ввод. еслипортзакрытиеили Не удалось подключиться,Тогда показать нельзя Открыть ссылку на хост,Ссылка не удалась; случай порта Открыть,Ссылка успешна,Затем войдите на страницу телнета (все черное),Доказательство того, что порт доступен.
Часто используемые клиентские команды Telnet:
Открыть: используйте openhostname, чтобы установить соединение Telnet с хостом.
close: используйте команду close, чтобы закрыть существующее соединение Telnet.
display: используйте команду display для просмотра текущих настроек клиента Telnet.
send: используйте команду send для отправки команд на сервер Telnet. Поддерживаются следующие команды:
ao: Отменить выходную команду.
айт: Команда «Ты здесь?».
esc: отправить текущий escape-символ.
ip: команда прерывания процесса.
синхронизация: выполнить операцию синхронизации Telnet.
брк: Отправить сигнал.
Команды, отличные от перечисленных в таблице выше, будут отправлены на сервер Telnet в виде строк. Например, sendabcd отправит строку abcd на сервер Telnet, чтобы эта строка появилась в окне сеанса Telnet.
Выход: используйте команду quit для выхода из клиента Telnet.
Telnet используется для удаленного входа в компьютеры в сети и удаленного управления компьютерами через командную строку. Следует отметить, что telnet-сервер должен быть запущен на удаленной машине, иначе команду telnet невозможно будет открыть. Например: введите «telnet 114.80.67.193» в командной строке и нажмите клавишу Enter. Однако из соображений безопасности введите «n» и нажмите клавишу Enter, чтобы отобразить приглашение для входа. После ввода своего имени для входа нажмите Enter, чтобы войти на удаленный компьютер.
Используйте команду open команды telnet для удаленного входа в систему на удаленном компьютере. Формат команды: open имя_хоста[порт], имя_хоста — это IP-адрес, а порт по умолчанию — 23. Введите «open 114.80.67.193» в командной строке Telnet и нажмите Enter. Затем введите «n» и введите имя пользователя и пароль в соответствии с подсказками для доступа к удаленному компьютеру.
Используйте подкоманду unset telnet, чтобы отключить функцию локального эха. Процесс работы: сначала введите «telnet» в командной строке и нажмите клавишу Enter, затем введите «setlocalecho» и нажмите клавишу Enter, чтобы включить функцию локального эха. Если вы хотите отключить возможность эха, просто введите telnet; Командная строка После символа введите «unsetlocalecho» и нажмите Enter.
Используйте подкоманду status команды telnet, чтобы проверить состояние соединения. Процесс операции: Введите «telnet», чтобы ввести команду telnet, затем введите «status» и нажмите Enter. Отобразится, что вы в настоящее время вошли в систему с IP-адресом 114.80.67.193.
Почему я не могу использовать telnet под Vista/Win7? Как выполнить команду telnet в Vista/Windows 7?
Подсказка Windows 7: telnet не является внутренней или внешней командой, что мне делать? Как правило, такая ситуация возникает только в Windows 7. Здесь мы в основном говорим о том, как ее решить в Windows 7.
Основная причина, по которой его нельзя использовать в Win7, заключается в том, что служба telnet в Win7 по умолчанию не установлена, поэтому нам необходимо установить службу telnet. Как его установить? Это очень просто, вам просто нужно сделать следующее:
Пуск→Панель управления→Программы и компоненты→Включение и выключение функций Windows Здесь вы можете увидеть «telnet-сервер» и «telnet-клиент».
Если вы хотите получить доступ к компьютерам других людей, вам необходимо установить клиент. Если вы хотите получить доступ к своему компьютеру, вам необходимо установить оба, поскольку ваш компьютер является одновременно сервером и клиентом.
Отключите брандмауэр Windows: Пуск → Панель управления → Брандмауэр Windows, здесь вы можете отключить или включить брандмауэр.
В целях безопасности включите некоторые настройки порта:
【Открыть】—【панель управления】–【Windowsбрандмауэр】–【Расширенные настройки】–【Входящие правила】–【Новое правило(В крайнем правом углу интерфейса)】—【порт】–【Tcp】–входить【конкретный местныйпорт(Вот где явходить8080)】–【Разрешить соединение】–【В определенных случаях вы можете настроить только тех пользователей, которым разрешен доступ.,Здесь нет конфигурации,Переходите непосредственно к следующему шагу】–【Настройка доступных компьютеров.,Здесь тоже нет настроек,Перейдите непосредственно к следующему шагу] – [Домен,преданный,Выберите общедоступные,Следующий шаг] — [Введите имя правила (например, я хочу разработать tomcat для внешнего доступа),Просто назовите его TomcatServer)]–[Завершите]
Краткое описание задействованных команд:
① ping + ip: проверьте, можно ли подключить IP-адрес, например: ping 114.80.67.193.
② telnet ip port : Проверьте, доступен ли определенный порт на определенной машине, например: telnet 114.80.67.193 8080
③ Команда выхода: выход — выход из окна.,q!,wq—LinuxВыход следующийviРедактор Ctrl+], затем нажмите q —Выходим из telnet-интерфейса quit—покидатьMySQL…….
Как использовать команду Telnet
Telnet команда позволяет использовать Telnet Протокол для удаленной компьютерной связи. бежать Telnet При вводе параметров нельзя использовать никакие параметры. Telnet быстрый (Microsoft Telnet>) указано Telnet контекст. Доступно с Telnet быстрый Вниз,использовать Telnet Командное управление проектом Telnet клиентский компьютер.
Команда клиента Telnet быстрая принимает следующие команды:
Открыть: используйте openhostname, чтобы установить соединение Telnet с хостом.
close: используйте команду close, чтобы закрыть существующее соединение Telnet.
display: используйте команду display для просмотра текущих настроек клиента Telnet.
send: используйте команду send для отправки команд на сервер Telnet. Поддерживаются следующие команды:
ao: Отменить выходную команду.
айт: Команда «Ты здесь?».
esc: отправить текущий escape-символ.
ip: команда прерывания процесса.
синхронизация: выполнить операцию синхронизации Telnet.
брк: Отправить сигнал.
Команды, отличные от перечисленных в таблице выше, будут отправлены на сервер Telnet в виде строк. Например, sendabcd отправит строку abcd на сервер Telnet, чтобы эта строка появилась в окне сеанса Telnet.
quit
использовать quit Команда может выйти Telnet клиент.
set
использовать с одним из следующих параметров set Команда настроена для текущего сеанса Telnet клиент.
bsasdel
Backspace будет отправлено как удаление.
codeset option
Доступно только в том случае, если в качестве языка установлен японский. Устанавливает текущий кодовый набор в качестве опции, которая может быть одной из следующих опций:
? Shift JIS
? Japanese EUC
? JIS Kanji
? JIS Kanji (78)
? DEC Kanji
? NEC Kanji
Тот же набор кодов должен быть установлен на удаленном компьютере. По умолчанию Телнет Клиент использует растровый шрифт. использовать Эти наборы кодов необходимо настроить перед доступом к удаленному компьютеру. Telnet Клиент с использованием TrueType шрифт, чтобы гарантировать правильное отображение символов.
crlf
Режим новой линии: заставляет клавишу возврата отправлять 0x0D, 0x0A.
delasbs
Удаление будет отправлено как клавиша возврата.
escapecharacter
Преобразование из режима сеанса Telnet в командный режим Telnet. В командном режиме Telnet нажатие Enter вернет вас в режим сеанса Telnet.
localecho
Откройте локалэхо.
logfilename
Указывает имя файла, в который записываются журналы Telnet для этого сеанса. Если вы не укажете путь к файлу, файл будет создан в текущем каталоге. При указании файла журнала также начинается ведение журнала.
logging
Запустите журнал этого сеанса.
mode {console | stream}
Режим работы.
ntlm
Запустите аутентификацию NTLM.
term {ansi | vt100 | vt52 | vtnt}
Тип терминала, который вы хотите, чтобы клиент Telnet эмулировал.
?
Отображение справочной информации для набора.
unset
использовать unset Команда может закрыть предыдущее использование set Опции, устанавливаемые командой.
status
использовать status Команда может определить проект Telnet Успешно ли подключился клиентский компьютер.
?/help
Отображение информации «Справка».
FTP: протокол передачи файлов. Сначала поговорим о его функциях.,Главное — передать файлы с компьютера FTP-сервера. Может взаимодействоватьиспользовать. Обратите внимание здесь,Только машины с установленным протоколом tcp/ip могут использовать команду ftp.
Формат команды: ftp [-v][-d][-i][-n][-g][-s:имя файла][-a][-w:размер окна][компьютер]
Давайте поговорим об их значении.
-v не отображает ответы удаленного сервера
-n отключает автоматический вход в систему при первом подключении
-i отключает интерактивные подсказки при передаче нескольких файлов
-d позволяет отлаживать и отображать все ftp-команды, передаваемые между клиентом и сервером.
-g Использование подстановочных знаков в имени файла не допускается. Подстановочные знаки в имени файла означают, что использование подстановочных знаков разрешено в локальных файлах и именах путей.
-s:filename Укажите текстовый файл, содержащий команду ftp. За этими командами автоматически последует команда ftp запустить. В добавляемых параметрах не может быть пробелов.
-a При привязке подключения к данным любое локальное соединение
-w:windowsize игнорирует буфер передачи по умолчанию 4096
Компьютер указывает IP-адрес удаленного компьютера для подключения.
Ха-ха, после понимания вышеизложенного, давайте поговорим о некоторых конкретных командах. Лично я считаю, что, хотя эти инструменты сейчас очень удобны в использовании, знание этих команд по-прежнему очень полезно во многих местах, как и команда «быстрый» под nt сейчас.
1) ?
Описание: отображение описания команды ftp. Вы можете добавить параметры позже, что означает добавление имени команды, которую необходимо объяснить. Если она не добавлена, будет отображен список, содержащий все команды.
2) append
Описание: использовать текущие настройки типа файла, прикреплять локальные файлы к удаленному компьютеру. Примерный формат:
Добавьте локальный-файл [удаленный-файл], где локальный-файл означает указание добавляемого локального файла.
Удаленный-файл означает, что локальный-файл должен быть добавлен к файлу удаленного компьютера. Если это значение опущено, в качестве имени удаленного файла будет использоваться имя локального файла.
3)ascii
Примечание. По умолчанию тип передачи файлов установлен на ASCII.
4)bell
Описание: Переключатель звонка означает, будет ли напоминание о звонке после завершения передачи файла. По умолчанию выключено.
5)binary
Описание: Установите двоичный тип передачи файлов.
6)bye
Описание: Завершите ftp-сессию с удаленным компьютером, то есть безопасно отключитесь и выйдите из ftp.
7)cd
Описание: Изменение рабочего каталога на удаленном компьютере. Например, данные компакт-диска, где данные — это каталог удаленного компьютера, который необходимо ввести.
8)close
Описание: Завершите сеанс FTP с удаленным сервером и вернитесь к интерпретатору команд.
9)dir
Описание: Отображение списка удаленных файлов и подкаталогов. Например, локальный файл данных каталога
Где данные — это каталог, определяющий список для просмотра. Если не указано, это текущий каталог. local-file указывает локальный файл для сохранения списка. Если он не указан, он будет выведен на экран.
10)debug
Описание: Переключатель отладки,Открыть при печати каждой команды, отправленной на удаленный компьютер,Заказ Раньше было——>
По умолчанию отключено.
11)disconnnect
Описание: Соединение с удаленным компьютером разорвано, но команда ftp fast сохраняется.
12)get
Описание: использовать текущий тип передачи файлов, копировать удаленные файлы на локальный компьютер.
нравитьсяполучить удаленный файл локальный файл
удаленный-файл указывает файл, который нужно скопировать, а локальный-файл указывает имя файла на локальном компьютере.
Если не указано, удаленный файл будет иметь то же имя.
13)glob
Описание: Переключатель подстановочных знаков имени файла.
14)hash
Описание: Преобразование печати решётки (#) каждого передаваемого блока данных. Размер блока данных составляет 2048 байт. По умолчанию он отключен,
15)help
Описание: отображение объяснения команды ftp, например команды справки, где команда — это команда, которую вы хотите объяснить. Если вы не добавите параметр команды, будет отображен список всех команд.
16)!
Описание: Чуть не забыл, что функция этой команды — указать команду на локальном компьютере. нравиться! command Среди них команда — это команда, которую вы хотите запустить. Если вы не добавите параметр команды, локальная командная строка будет выглядеть так: В это время вы можете вернуться на ftp, введя команду выхода.
17)lcd
Объяснение: Измените локальный каталог локального компьютера. По умолчанию это каталог ftp. Не думайте, что это бесполезно. Когда вы работаете с FTP, не меняйте часто каталог локального и удаленного компьютеров. передать файлы?
Например, lcd [каталог], где [каталог] указывает каталог локального компьютера, который нужно ввести. Если вы не добавите этот параметр, будет отображаться рабочий каталог локального компьютера.
18)literal
Описание: Отправка параметров переговоров и отчетов на удаленный ftp-сервер.
Например, литературный аргумент […], где аргумент указывает параметры согласования, которые будут отправлены на удаленный сервер.
19)ls
Описание: Отображение файлов и подкаталогов удаленного каталога.
Такие как лс локальный-файл удаленного каталога
Где удаленный каталог относится к каталогу списка, который нужно просмотреть. Если не указано, отображается текущий рабочий каталог. local-file указывает локальный файл для сохранения списка. Если он не указан, он будет выведен на экран.
20)mdelete
Описание: Удаление файлов на удаленном компьютере. Например, mdelete Remote-file….
Удаленный файл — это определенно файл, который необходимо удалить. Вы можете удалить несколько файлов.
21)mdir
Описание: отображает список файлов и подкаталогов удаленного каталога. Позволяет указать несколько файлов.
такие как мдир удаленный-файл … локальный-файл
Думаю, каждому должно быть понятно, что означают параметры, не так ли? Если не понимаете, просто посмотрите предыдущие подобные команды.
22)mget
Описание: использовать Текущий тип передачи файлов копирует несколько удаленных файлов на локальный компьютер.
Например, mget удаленные файлы…
Фактически, вы можете указать несколько удаленных файлов, что определяет удаленные файлы, которые необходимо скопировать на локальный компьютер.
23)mkdir
Описание: Создайте удаленный каталог.
Например, мкдир directory md в команде быстрый под этой командой int Каталог тот же, поэтому больше ничего не скажу.
24)mls
Описание: Отображение сводной информации о файлах и каталогах удаленного каталога.
Такие как млс удаленный файл … локальный файл
Необходимо добавить параметр удаленного файла, ''-'' — текущий рабочий каталог удаленного компьютера.
25)mput
Описание: использовать текущий тип передачи файлов: копирование локальных файлов на удаленный компьютер.
Например, mput local-files…
26)open
Описание: Подключитесь к указанному ftp-серверу,
Например, открытый computer port Среди них компьютер обычно представляет собой IP-адрес удаленного компьютера, а порт, разумеется, обозначается как порт.
27)prompt
Описание: Приглашение на преобразование. При передаче нескольких файлов приглашение ftp может выборочно получить или сохранить файлы. Если приглашение отключено, команды mget и mput перенесут все файлы. Они открыты по умолчанию.
28)put
Описание: использовать Текущий тип передачи файлов копирует локальные файлы на удаленный компьютер,
нравитьсяпоместить локальный файл, удаленный файл
Где локальный-файл — это локальный файл, указанный для копирования.
удаленный-файл указывает имя файла на удаленном компьютере, который нужно скопировать. Если он не указан, он будет иметь то же имя, что и имя файла на локальном компьютере.
29)pwd
Описание: Отображение текущего каталога на удаленном компьютере.
30)quit
Описание: Завершите сеанс FTP с удаленным компьютером и выйдите из FTP.
31)quote
Описание: Отправка протокола и отчета на удаленный ftp-сервер. Ожидание ответа с одним кодом ftp. Функция этой команды такая же, как и у буквального.
32)recv
Описание: использовать Текущий тип передачи файлов копирует удаленные файлы на локальный компьютер. Он выполняет ту же функцию, что и команда get.
33)remotehelp
Описание: Отображение справки по удаленным командам. Использование этой команды такое же, как и помощь!. Вы можете ознакомиться с ее использованием.
34)rename
Описание: Измените имя файла на удаленном компьютере.
Эта команда аналогична быстрой команде, например переименованию filename newfilename
35)rmdir
Описание: Удалить удаленный каталог.
Эта команда аналогична команде «быстрая», например rmdir. directory
36)send
Описание: использовать Текущий тип передачи файлов копирует локальные файлы на удаленный компьютер. Функция команды sendиput аналогична.
нравитьсяотправить локальный файл, удаленный файл
37)status
Описание: Отображение текущего статуса ftp-соединения и преобразования.
38)trace
Объяснение: При преобразовании трассировки сообщения в команду ftp у трассировки не будет причины для сообщения.
39)type
Описание: Установите или отобразите тип передачи файлов.
Такие как тип [имя-типа]
Среди них имя типа означает тип передачи файлов. По умолчанию используется ASCII. Если этот параметр не добавлен, будет отображаться текущий тип передачи.
40)user
Описание: Укажите пользователя для подключения к удаленному компьютеру.
Например, пользователь имя пользователя [пароль] [учетная запись]
Излишне говорить, что имя пользователя — это имя пользователя, используемое для входа в компьютер.
Passwd — это пароль для указанного имени пользователя. Если он не указан, ftp запросит пароль.
Учетная запись — это учетная запись, предназначенная для входа в компьютер. Если не указано, ftp предложит вам ввести учетную запись.
41)verbose
Описание: Преобразование режима резервирования. Если здесь включено, то будут отображаться все ответы ftp. По завершении передачи файлов будет отображаться эффективность передачи и статистическая информация. По умолчанию включено!
Что используют Telnet злоумышленники?
(1) Telnet — первое средство управления хостом. Если злоумышленник хочет дать команду «Изучить» на удаленном хосте, ему необходимо установить соединение IPC$, а затем использоватьnet. timeЗаказ Посмотреть системное время,Наконец, команда useat создает запланированное задание для выполнения команды удаленного изучения. Хотя этот метод позволяет удаленно изучить команду,Но в сравнении,Метод Telnet гораздо удобнее для злоумышленников. Как только злоумышленник установит соединение Telnet с удаленным хостом,Вы можете управлять удаленным компьютером так же, как и локальным компьютером. видимый,Метод Telnet — это метод удаленного управления, используемый злоумышленниками.,После того, как они изо всех сил старались получить права администратора удаленного хоста,,Обычно вы входите в систему через Telnet.
(2) Используется как трамплин. Ботов, используемых для невидимости, злоумышленники называют «трамплинами». Они часто используют этот метод для входа с одного «бройлера» на другой, чтобы их IP-адреса не были раскрыты в процессе проникновения.
О проверке NTLM Поскольку Telnet является слишком мощным и является одним из наиболее частых методов входа в систему для злоумышленников, Microsoft добавила аутентификацию для Telnet, называемую аутентификацией NTLM, которая требует, чтобы терминал Telnet имел имя пользователя и пароль хоста службы Telnet, а также должен. удовлетворять отношениям аутентификации NTLM. Аутентификация NTLM значительно повышает безопасность узлов Telnet, действуя как блокпост, который не пропускает многих злоумышленников.
Синтаксис Telnet telnet [-a][-e escape char][-f log file][-l user][-t term][host [port]] -a Попытайтесь войти в систему автоматически. В дополнение к использованию имени пользователя, вошедшего в систему, используйте -l Варианты те же. -e Пропускайте символы для ввода telnet Советы клиентам. -f Имя файла входа клиента -l Указывает имя пользователя для входа в удаленную систему. Запросить удаленную поддержку системы TELNET ENVIRON параметры. -t Укажите тип терминала. Поддерживаются только следующие типы терминалов: vt100, vt52, ansi и vtnt。 host Укажите имя хоста удаленного компьютера для подключения или IP адрес. port Укажите номер порта или имя службы.
используйте вход через Telnet Команда входа: telnet HOST [PORT] Например: телнет 61.152.158.132 23 (порт по умолчанию) Команда для отключения Telnet-соединения: выход Telnet-соединение успешно установлено,Помимо запроса номера учетной записи и пароля на удаленном компьютере,Вам также необходимо включить службу Telnet на удаленном компьютере.,И удалите NTLM-проверку. Вы также можете использовать специальный инструмент Telnet для подключения,Такие как СТЭРМ,CTERM и другие инструменты.
Типичное вторжение Telnet (если вы не понимаете следующее содержание, вы можете понять его вкратце)
1. Типичные шаги вторжения через Telnet шаг первый:УчреждатьIPCсоединять.вsysbackЭто фронт Учреждатьизбэкдор-аккаунт。 Шаг 2. Включите отключенную службу Telnet на удаленном хосте. Шаг 3. Отключите IPCсоединять. Шаг 4. Отключите проверку NTLM. Если аутентификация NTLM на удаленном компьютере не удалена, вход на удаленный компьютер не удастся. Однако злоумышленники будут использовать различные методы, чтобы сделать NTLM-проверку бесполезной. Есть много способов удалить NTLM,Ниже перечислены некоторые часто используемые методы.,Давайте посмотрим, как злоумышленник удаляет NTLM-аутентификацию.
Способ первый:
Сначала создайте на локальном компьютере учетную запись и пароль, такие же, как на удаленном хосте. Затем найдите «Команда быстрая» через «Начать» → «Программы» → «Стандартные использовать», щелкните правой кнопкой мыши «Команда быстрая» и выберите «Свойства». Выберите «Проверить» напротив «Запустить (U) как другой пользователь» и нажмите кнопку «ОК». Затем по-прежнему следуйте по указанному выше пути, чтобы найти «Команда быстрая», нажмите Открыть левой кнопкой мыши и получите диалоговое окно, как показано на рисунке. Как показано на картинке, введите «Имя пользователя» и «Пароль». После нажатия кнопки «ОК» вы получите интерфейс MS-DOS, а затем используйте этот MS-DOS для входа в систему через Telnet. Введите «телнет 192.168.27.128» и нажмите Enter, в появившемся интерфейсе введите «y», чтобы отправить пароль и войти, как показано на рисунке. Конечным результатом является оболочка, в которой удаленным хостом является пользователь терминала Telnet Открыть. Команды, введенные в оболочку, будут выполняться непосредственно на изучаемом удаленном компьютере. Например, введите «net user» для просмотра списка пользователей на удаленном хосте.
Способ второй:
Метод использует инструмент NTLM.EXE для удаления аутентификации NTLM. Сначала установите соединение IPC$ с удаленным хостом, затем скопируйте NTLM.EXE на удаленный хост и, наконец, используйте команду at, чтобы заставить удаленный компьютер изучить NTLM.EXE. После планирования задачи изучитьNTLM.EXE вы можете ввести «телнет 192.168.27.128» для входа на удаленный компьютер. Наконец получите интерфейс входа в систему Введите имя пользователя и пароль в интерфейсе входа. Если имя пользователя и пароль верны, вы войдете в систему на удаленном компьютере. машину, чтобы получить оболочку удаленного компьютера. Войдите успешно. Кроме того, вы также можете использовать программу резюмеtelnet.exe, соответствующую opentelnet.exe, для восстановления проверки NTLM удаленного хоста. Формат команды: «ResumeTelnet.exe. \\server sername password”。 Вывод после исследования показывает, что Resumetelnet.exe закрыл службу Telnet целевого хоста и восстановил проверку NTLM. Полное руководство по расширенному вторжению через Telnet Как видно из предыдущего введения, даже если компьютер имеет аутентификацию NTLM, злоумышленник все равно может легко удалить аутентификацию NTLM для входа в систему через Telnet. Администраторы могут легко обнаружить злоумышленников, если они войдут в систему с портом по умолчанию 23, но, к сожалению, злоумышленники обычно не подключаются через Telnet с портом по умолчанию 23. ть. Итак, как злоумышленники модифицируют Telnet и как они модифицируют службу Telnet, чтобы скрыть свое местонахождение. Вот несколько типичных примеров, иллюстрирующих этот процесс, и представлены инструменты, необходимые для его завершения. X-Scan: используется для сканирования хостов со слабыми паролями NT. opentelnet: используется для аутентификации NTLM, включения службы Telnet и изменения службы Telnet. AProMan: используется для просмотра процессов и их завершения. instsrv: используется для установки служб на хосте.
(1) AProMan Введение AproMan использует командную строку для просмотра и завершения процессов и не проверяется и не уничтожается антивирусным программным обеспечением. Например, если злоумышленник обнаружит, что на целевом хосте установлено антивирусное программное обеспечение, что приведет к проверке и уничтожению загруженного инструмента антивирусным программным обеспечением, ему придется перед этим отключить антивирусный брандмауэр. загружаем инструмент. Метод заключается в следующем: c:\AProMan.exe -a показать все процессы c:\AProMan.exe -p Ассоциация процесса показпорта (требуются права администратора) c:\AProMan.exe -t [PID] Завершить процесс с указанным номером процесса c:\AProMan.exe -f [FileName] Сохранение информации о процессах и модулях в файлах.
(2) Введение в instsrv instsrv — это программа, которая может устанавливать и удалять службы с помощью командной строки. Вы можете свободно указывать имя и местоположение службы. Использование instsrv выглядит следующим образом: Услуга установки: instsrv <Название службы> <осуществлятьрасположение программы> Служба удаления: instsrv <Название службы> REMOVE Есть еще один отличный инструмент удаленного управления услугами.SC。оно принадлежит Заказинструменты для строк,Вы можете запрашивать, запускать и останавливать локально иудалить службы на удаленном компьютере. Его использование очень просто.,Здесь нет введения. Ниже на примерах представлен процесс того, как злоумышленник осуществляет вход в систему через Telnet и выходит из бэкдора Telnet.
Шаг 1. Сканируйте хосты со слабыми паролями NT. Выберите «Слабый пароль NT-SERVER» в «Модуле сканирования» X-Scan. Затем укажите диапазон сканирования от «192.168.27.2 до 192.168.27.253» в «Параметры сканирования». Подождав некоторое время, вы получите результаты сканирования.
Шаг 2. Используйте opentelnet Открыть службу Telnet удаленного хоста, измените порт целевого хоста и удалите аутентификацию NTLM.
Независимо от того, включена ли «служба Telnet» на удаленном хосте, злоумышленник может использовать инструмент opentelnet для решения проблемы. Например, через «opentelnet \\192.168.27.129 administrator “” 1 66» — это IP-адрес 192.168.1. Хост 27.129 удаляет аутентификацию NTLM,Включить службу Telnet,В то же время номер входа в Telnet по умолчанию 23, порт, был изменен на 66, порт.
Шаг 3. Скопируйте необходимые файлы (instsrv.exe, AProMan.exe) на удаленный хост. Сначала создайте IPC$, а затем скопируйте и вставьте необходимые файлы в папку c:\winnt удаленного компьютера, подключив сетевой жесткий диск. После успешного копирования.
Шаг 4. Войдите в систему через Telnet. Введите команду «telnet 192.168.27.129 66» в MS-DOS, чтобы войти на удаленный хост 192.168.27.129.
Шаг 5: Завершите процесс брандмауэра. Если злоумышленнику необходимо скопировать трояноподобную программу на удаленный хост и установить ее, он заранее отключит антивирусный брандмауэр на удаленном хосте. Хотя здесь нет троянской программы, скопированной на удаленный хост, процесс все равно необходимо представить. После успешного входа в систему злоумышленник войдет в каталог c:\winnt, в котором используется программа AProMan. Сначала передайте команду AProMan –A Просмотрите все процессы, затем найдите PID процесса антивирусного брандмауэра и, наконец, используйтеAProMan. –t [PID] для отключения антивирусного брандмауэра.
Шаг 6. Также установите более скрытую службу Telnet. Чтобы потом иметь возможность войти в компьютер,Злоумышленники покинут бэкдор после первого входа в систему. Вот введение в то, как злоумышленник устанавливает системные службы, чтобы сделать службу Telnet постоянной. Перед установкой сервиса,Надо понять одно ВнизWindowsОперационная системаданравиться Что предложить“TelnetСлужить”из。Открыть“управление компьютером”,затем просмотрите“TelnetСлужить”свойство。 В «Телнет В окне «Свойства» вы можете увидеть, что «Путь к изучаемому файлу» указывает на «C:\WINNT\». SYSTEM32\tlntsvr.exe». Видно, что программа tlntsvr.exe специально используется для предоставления «службы Telnet» в системах Windows. Другими словами, если служба указывает на эту программу, то служба будет предоставлять службу Telnet. Поэтому введите Злоумышленник может настроить новую службу и указать ей tlntsvr.exe для входа в систему через службу Telnet, предоставляемую этой службой. После этого, даже если служба Telnet на удаленном хосте отключена, злоумышленник все равно сможет войти в систему без нее. любые препятствия для входа на удаленный компьютер, этот метод называется. Бэкдор Telnet. Вот введение в то, как реализуется описанный выше процесс. Сначала введите каталог, в котором находится instsrv. Затем используйтеinstsrv.exe создает службу с именем «SYSHEALTH» и указывает этой службе на C:\WINNT. z\SYSTEM32\tlntsvr.exe, в соответствии с использованием instsrv.exe, введите команду «instsrv.exe SYSHEALTH C:\WINNT\SYSTEM32\tlntsvr.exe”。 Служба с именем «SYSHEAHTH» успешно установлена. Хотя на первый взгляд эта служба не имеет ничего общего с удаленными подключениями, на самом деле эта служба представляет собой бэкдор Telnet, оставленный злоумышленником. Через «Управление компьютером» вы можете увидеть, что служба добавлена на удаленном компьютере. Злоумышленники обычно устанавливают тип запуска этой службы на «автоматический», а затем останавливают и отключают исходную «службу Telnet». Путем проверки видно, что хотя служба Telnet на удаленном хосте остановлена и отключена, злоумышленник все равно может управлять удаленным хостом через Telnet. С этими изменениями, даже если администратор использует «netstat Команда -n» для просмотра номера открытого порта не показывает, что 66порт предоставляет службу Telnet. Эту команду также можно использовать для оценки состояния соединения порта.
Резюме: Команда telnet — это мощная команда удаленного входа в систему.,Почти все злоумышленники любят его использовать.,Испытано и правда. Почему? Потому что он прост в эксплуатации,Так же, как использовать собственную машину,Если вы знакомы с командами DOS,После успешного подключения к удаленному компьютеру от имени администратора,Вы можете использовать его, чтобы делать все, что захотите.
Издатель: Full stack программист и руководитель стека, укажите источник для перепечатки: https://javaforall.cn/167526.html Исходная ссылка: https://javaforall.cn