WIN2K的Telnet服務Hacking

Windows 2000 是默認安裝了 Telnet 服務的，但是并沒有默認啟動。很多人在問得到administrator帳號后怎么遠程啟動TELNET，怎么運行ncx.exe 后門等等，以方便遠程執行各種命令。方法很多。
    很多人使用小榕的流光工具，上傳一個NCX，開99端口，利用任務計劃服務AT 來啟動NCX，這里還需要查詢遠程服務器的時間，根據時間來執行AT的程序運行時間，如果不是使用AT，那么需要先打開AT服務。但是 NCX使用起來不是很方便，顯示不好，如果要使用微軟自己的Telnet ，那么需要先上傳NTLM.exe，運行NTLM.exe來修改微軟Telnet服務的NTLM認證方式，總的說來，非常麻煩。

    既然在windows 2000下，微軟自己有TELNET服務，那么就利用起來嘛。如果我們得到administrator 帳號，對windows2000來說，還有什么能夠攔得住呢。

    如果能夠直接啟動Telnet 服務，遇到得第一大問題就是身份驗證了。它默認是按照 NTLM方式進行身份認證的，因此雖然可以Telnet過去，但是，NTLM認證一下子就失敗了，也就退出了Telnet ，還沒等到輸入帳號密碼呢。這里應該認識認識NTLM認證方式。

以下配置將使用 NTLM 作為身份驗證機制：
Windows 2000 Professional 客戶端向 Windows NT 4.0 的域控制器驗證身份。
Windows NT 4.0 Workstation 客戶端向 Windows 2000 域控制器驗證身份。
Windows NT 4.0 Workstation 客戶端向 Windows NT 4.0 域控制器驗證身份。
Windows NT 4.0 域中的用戶向 Windows 2000 域驗證身份。
另外，NTLM 是為沒有加入到域中的計算機（如單機服務器和工作站）提供的身份驗證協議。

NTLM身份認證過程是：
1、客戶端首先在本地加密自己的密碼成為密碼散列
2、客戶端向服務器發送自己的帳號，這個帳號是沒有經過加密的，明文直接傳輸。
3、服務器產生一個16位的隨機數字發送給客戶端，作為一個 challenge
4、客戶端再用加密后的密碼散列來加密這個 challenge ，然后把這個返回給服務器。作為 response 。
5、服務器把用戶名、給客戶端的challenge 、客戶端返回的 response 這三個東西，發送域控制器
6、域控制器用這個用戶名在 SAM密碼管理庫中找到這個用戶的密碼散列，然后使用這個密碼散列來加密 challenge。
7、域控制器比較兩次加密的 challenge ，如果一樣，那么認證成功。

    根據NTLM認證過程，我們能夠得到一個比較簡單的方法來使用微軟自己的Telnet 服務。但是它并不是默認運行的，所以首先需要遠程把它啟動起來（使用AT啊）。然后根據NTLM身份認證的特點，把本地的帳號和密碼修改成服務器上的帳號和密碼，然后重新啟動，用修改的帳號和密碼登錄，然后再連接服務器的Telnet。這樣經過NTLM認證，就能夠成功了。不過這個方法，雖然簡單，但是顯得太笨了，還要修改密碼重新啟動。

要得到更自由和方便的辦法，我們需要熟悉 Telnet 服務器的配置情況。

在注冊表中的這個位置是關于Telnet Server的相關配置    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0

比如下面這些項值：

鍵LoginScript：顯示 Telnet 服務器登錄腳本的路徑位置。默認的位置就是“%systemroot%\System32\login.cmd”，當然，可以把腳本內容改寫了，這樣登錄進Telnet的歡迎屏幕就不一樣，鍵AllowTrustedDomain：是否允許域用戶訪問，默認值是1，允許信任域用戶訪問。可以修改為下面這些值：
0: 不允許域用戶訪問（只允許本地用戶）。
1: 允許域用戶從具有信任關系的域訪問。

鍵DefaultDomain：可以對與該計算機具有信任關系的任何域設置。如果 AllowTrustedDomain 設為 1，并且要本地域為默認域，請將值設為“.”。默認就是"."

鍵DefaultShell：shell 的路徑位置。默認是： %systemroot%\System32\Cmd.exe /q /k ，修改吧，可以玩人。

鍵MaxFailedLogins：在連接終止之前顯示嘗試登錄失敗的最大次數。默認是3。

鍵NTLM：NTLM身份驗證選項。默認是2。可以有下面這些值：
0: 不使用 NTLM 身份驗證。
1: 先嘗試 NTLM 身份驗證。如果失敗，再使用用戶名和密碼。
2: 只使用 NTLM 身份驗證。

鍵TelnetPort：顯示 telnet 服務器偵聽 telnet 請求的端口。默認是：23，當然，你可以更改為一個其他的端口，這樣別人可能就不知道是不是開了telnet服務了。這個項也能讓我們利用Telnet 服務器更自由了。

在Telnet服務器配置這些參數中，可以使用tlntadmn.exe命令來進行非常方便的配置，配置后需要重新啟動Telnet服務。

    根據上面這些關于Telnet 服務的配置，我寫了兩個小工具 OpenTelnet.exe 和 ResumeTelnet.exe 。這兩個工具中，OpenTelnet.exe是用來啟動遠程服務器的Telnet的，Resumetelnet.exe是用來把修改了的配置都返回到默認配置上去，關閉Telnet服務等（刪除足跡嘛）。兩個工具配合起來使用。

使用這兩個程序，你必須先獲得管理員密碼和帳號，同時服務器開放IPC$共享。只能對WIN2K（XP）使用，NT，沒測試過。

Opentelnet.exe的用法：
OpenTelnet.exe \\server <帳號> <密碼> <NTLM認證方式> <Telnet端口>

比如下面的：（命令意思是連接192.168.1.2，帳號administrator，密碼123456 ，0表示不使用NTLM認證方式，Telnet的端口是90）

C:\>OpenTelnet.exe \\192.168.1.2 administrator 123456 0 90
當程序運行后得到：
BINGLE!!!Yeah!!
Telnet Port is 90. You can try:"telnet ip 90", to connect the server!
Disconnecting server...Successfully!

    就說明Telnet服務啟動成功，并且使用的端口是90。這樣，我們就能夠得到一個開90端口的Windows 2000 Telnet服務器。

Telnet 192.168.1.2 90
就可以登錄上去了，而且不使用 NTLM認證方式。

ResumeTelnet.exe，是用來恢復Telnet配置的，并關閉Telnet服務器，它的用法是：
ResumeTelnet.exe \\ip <帳號> <密碼>

例如：
C:\>ResumeTelnet.exe \\192.168.21.2 administrator 123456
如果程序運行后顯示：
BINGLE!!!
The config of remote telnet server is resumed!
Disconnecting server...Successfully!
就說明服務器端Telnet 的配置又返回到原來的狀態中了。

    Windows 2000有很多好的功能，非常方便哦！

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]