欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

1．什么是Telnet

對于Telnet的認識，不同的人持有不同的觀(guān)點(diǎn)，可以把Telnet當成一種通信協(xié)議，但是對于入侵者而言，Telnet只是一種遠程登錄的工具。一旦入侵者與遠程主機建立了Telnet連接，入侵者便可以使用目標主機上的軟、硬件資源，而入侵者的本地機只相當于一個(gè)只有鍵盤(pán)和顯示器的終端而已。

2．Telnet被入侵者用來(lái)做什么

（1）Telnet是控制主機的第一手段

在前幾節介紹過(guò)，如果入侵者想要在遠程主機上執行命令，需要建立IPC$連接，然后使用net time命令查看系統時(shí)間，最后使用at命令建立計劃任務(wù)才能完成遠程執行命令。雖然這種方法能夠遠程執行命令，但相比之下，Telnet方式對入侵者而言則會(huì )方便得多。入侵者一旦與遠程主機建立Telnet連接，就可以像控制本地計算機一樣來(lái)控制遠程計算機?？梢?jiàn)，Telnet方式是入侵者慣于使用的遠程控制方式，當他們千方百計得到遠程主機的管理員權限后，一般都會(huì )使用Telnet方式進(jìn)行登錄。

（2）用來(lái)做跳板

入侵者把用來(lái)隱身的肉雞稱(chēng)之為“跳板”，他們經(jīng)常用這種方法，從一個(gè)“肉雞”登錄到另一個(gè)“肉雞”，這樣在入侵過(guò)程中就不會(huì )暴露自己的IP地址，這一過(guò)程將在第5章中詳細介紹。

3．關(guān)于NTLM驗證

由于Telnet功能太強大，而且也是入侵者使用最頻繁的登錄手段之一，因此微軟公司為T(mén)elnet添加了身份驗證，稱(chēng)為NTLM驗證，它要求 Telnet終端除了需要有Telnet服務(wù)主機的用戶(hù)名和密碼外，還需要滿(mǎn)足NTLM驗證關(guān)系。NTLM驗證大大增強了Telnet主機的安全性，就像一只攔路虎把很多入侵者拒之門(mén)外。

4．使用Telnet登錄

登錄命令：telnet HOST [PORT]

斷開(kāi)Telnet連接的命令：exit

成功地建立Telnet連接，除了要求掌握遠程計算機上的賬號和密碼外，還需要遠程計算機已經(jīng)開(kāi)啟“Telnet服務(wù)”，并去除NTLM驗證。也可以使用專(zhuān)門(mén)的Telnet工具來(lái)進(jìn)行連接，比如STERM，CTERM等工具。

2.3.2  Telnet典型入侵

1．Telnet典型入侵步驟

步驟一：建立IPC$連接。其中sysback是前面建立的后門(mén)賬號，命令如圖所示。

步驟二：開(kāi)啟遠程主機中被禁用的Telnet服務(wù)，如圖所示。

步驟三：斷開(kāi)IPC$連接，如圖所示。

步驟四：去掉NTLM驗證。如果沒(méi)有去除遠程計算機上的NTLM驗證，在登錄遠程計算機的時(shí)候就會(huì )失敗，如圖所示。

不過(guò)入侵者會(huì )使用各種方法使NTLM驗證形同虛設。解除NTLM的方法有很多，下面列出一些常用的方法，來(lái)看看入侵者如何去除NTLM驗證。

（1）方法一

首先，在本地計算機上建立一個(gè)與遠程主機上相同的賬號和密碼，如圖所示。

然后，通過(guò)“開(kāi)始”→“程序”→“附件”找到“命令提示符”，使用鼠標右鍵單擊“命令提示符”，然后選擇“屬性”，打開(kāi)后如圖所示。

在“以其他用戶(hù)身份運行（U）”前面“打鉤”，然后單擊“確定”按鈕。接著(zhù)，仍然按照上述路徑找到“命令提示符”，用鼠標左鍵單擊打開(kāi)，得到如圖所示對話(huà)框。

如圖所示，鍵入“用戶(hù)名”和“密碼”。

單擊“確定”按鈕后，得到MS-DOS界面，然后用該MS-DOS進(jìn)行Telnet登錄，如圖所示。

鍵入“telnet 192.168.27.128”命令并回車(chē)后，在得到的界面中鍵入“y”表示發(fā)送密碼并登錄，如圖所示。

最后得到如圖所示。

圖2-47就是遠程主機為T(mén)elnet終端用戶(hù)打開(kāi)的Shell，在該Shell中輸入的命令將會(huì )直接在遠程計算機上執行。

比如，鍵入“net user”命令來(lái)查看遠程主機上的用戶(hù)列表，如圖所示。

（2）方法二

該方法使用工具NTLM.EXE來(lái)去除NTLM驗證。首先與遠程主機建立IPC$連接，然后將NTLM.EXE拷貝至遠程主機，最后通過(guò)at命令使遠程計算機執行NTLM.EXE，整個(gè)過(guò)程如圖所示。

計劃任務(wù)執行NTLM.EXE后，便可鍵入“telnet 192.168.27.128”命令來(lái)登錄遠程計算機，如圖所示。

最后得到登錄界面，如圖所示。

在該登錄界面中鍵入用戶(hù)名和密碼，如果用戶(hù)名和密碼正確，便會(huì )登錄到遠程計算  機，得到遠程計算機的Shell。

成功登錄后，得到如圖所示的登錄界面。

另外，還可以使用與opentelnet.exe相配套的程序resumetelnet.exe來(lái)恢復遠程主機的NTLM驗證，命令格式為“ResumeTelnet.exe \\\\server sername password”，如圖所示。

執行后如圖所示。

根據圖的回顯可知，resumetelnet.exe關(guān)閉了目標主機的Telnet服務(wù)，恢復了NTLM驗證。

Telnet高級入侵全攻略

從前面的介紹可以看出，即使計算機使用了NTLM驗證，入侵者還是能夠輕松地去除NTLM驗證來(lái)實(shí)現Telnet登錄。如果入侵者使用23號端口登錄，管理員便可以輕易地發(fā)現他們，但不幸的是，入侵者通常不會(huì )通過(guò)默認的23號端口進(jìn)行Telnet連接。那么入侵者究竟如何修改Telnet端口，又如何修改Telnet服務(wù)來(lái)隱蔽行蹤呢？下面舉一些常見(jiàn)的例子來(lái)說(shuō)明這一過(guò)程，并介紹一下完成這一過(guò)程所需要的工具。

è X-Scan：用來(lái)掃出存在NT弱口令的主機。

è opentelnet：用來(lái)去NTLM驗證、開(kāi)啟Telnet服務(wù)、修改Telnet服務(wù)端口。

è AProMan：用來(lái)查看進(jìn)程、殺死進(jìn)程。

è instsrv：用來(lái)給主機安裝服務(wù)。

（1）AProMan簡(jiǎn)介

AproMan以命令行方式查看進(jìn)程、殺死進(jìn)程，不會(huì )被殺毒軟件查殺。舉個(gè)例子，如果入侵者發(fā)現目標主機上運行有殺毒軟件，會(huì )導致上傳的工具被殺毒軟件查殺，那么他們就會(huì )要在上傳工具前關(guān)閉殺毒防火墻。使用方法如下：

c:\\AProMan.exe -a                              顯示所有進(jìn)程

c:\\AProMan.exe -p                             顯示端口進(jìn)程關(guān)聯(lián)關(guān)系（需Administrator權限）

c:\\AProMan.exe -t [PID]                            殺掉指定進(jìn)程號的進(jìn)程

c:\\AProMan.exe -f [FileName]             把進(jìn)程及模塊信息存入文件

（2）instsrv簡(jiǎn)介

instsrv是一款用命令行就可以安裝、卸載服務(wù)的程序，可以自由指定服務(wù)名稱(chēng)和服務(wù)所執行的程序。instsrv的用法如下，更詳細的用法如圖2-61所示。

安裝服務(wù)：instsrv <服務(wù)名稱(chēng)> <執行程序的位置>

卸載服務(wù)：instsrv <服務(wù)名稱(chēng)> REMOVE

還有另一款優(yōu)秀的遠程服務(wù)管理工具SC。它屬于命令行工具，可以在本地對遠程計算機上的服務(wù)進(jìn)行查詢(xún)、啟動(dòng)、停止和刪除。它的用法很簡(jiǎn)單，這里不作介紹了。下面通過(guò)實(shí)例來(lái)介紹入侵者如何實(shí)現Telnet登錄并留下Telnet后門(mén)的過(guò)程。

步驟一：掃出有NT弱口令的主機。在X-Scan的“掃描模塊”中選中“NT-SERVER弱口令”，如圖所示。

然后在“掃描參數中”指定掃描范圍為“192.168.27.2到192.168.27.253”，如圖2所示。

等待一段時(shí)間后，得到掃描結果如圖所示。

步驟二：用opentelnet打開(kāi)遠程主機Telnet服務(wù)、修改目標主機端口、去除NTLM驗證。

無(wú)論遠程主機是否開(kāi)啟“Telnet服務(wù)”，入侵者都可以通過(guò)工具opentelnet來(lái)解決。比如，通過(guò)“opentelnet \\\\192.168.27.129  administrator ""  1 66”命令為IP地址為192.168. 27.129的主機去除NTLM認證，開(kāi)啟Telnet服務(wù)，同時(shí)又把Telnet默認的23號登錄端口改成66號端口。

步驟三：把所需文件（instsrv.exe、AProMan.exe）拷貝到遠程主機。

首先建立IPC$，然后通過(guò)映射網(wǎng)絡(luò )硬盤(pán)的方法把所需文件拷貝、粘貼到遠程計算機的c:\\winnt文件夾中，具體過(guò)程如圖所示。

拷貝成功后，如圖所示。

步驟四：Telnet登錄。

在MS-DOS中鍵入命令“telnet 192.168.27.129 66”來(lái)登錄遠程主機192.168.27.129。

步驟五：殺死防火墻進(jìn)程。

如果入侵者需要把類(lèi)似木馬的程序拷貝到遠程主機并執行，那么他們會(huì )事先關(guān)閉遠程主機中的殺毒防火墻。雖然這里沒(méi)有拷貝類(lèi)似木馬的程序到遠程主機，但還是要介紹一下這一過(guò)程。當入侵者登錄成功后，他們會(huì )進(jìn)入到c:\\winnt目錄中使用AProMan程序。首先通過(guò)命令AProMan –A查看所有進(jìn)程，然后找到殺毒防火墻進(jìn)程的PID，最后使用AProMan –t [PID]來(lái)殺掉殺毒防火墻。

步驟六：另外安裝更為隱蔽的Telnet服務(wù)。

為了事后仍然能登錄到該計算機，入侵者在第一次登錄之后都會(huì )留下后門(mén)。這里來(lái)介紹一下入侵者如何通過(guò)安裝系統服務(wù)的方法來(lái)讓Telnet服務(wù)永遠運行。在安裝服務(wù)之前，有必要了解一下Windows操作系統是如何提供“Telnet服務(wù)”的。打開(kāi)“計算機管理”，然后查看“Telnet服務(wù)”屬性，如圖示。

 

然后使用instsrv.exe建立一個(gè)名為“SYSHEALTH”的服務(wù)，并把這個(gè)服務(wù)指向C:\\WINNT z\\SYSTEM32\\tlntsvr.exe，根據instsrv.exe的用法，鍵入命令“instsrv.exe SYSHEALTH C:\\WINNT\\SYSTEM32\\tlntsvr.exe”，如圖所示。

 

一個(gè)名為“SYSHEAHTH”的服務(wù)就這樣建立成功了。雖然從表面看上去該服務(wù)與遠程連接不存在任何關(guān)系，但是實(shí)際上該服務(wù)是入侵者留下的Telnet后門(mén)服務(wù)。

通過(guò)“計算機管理”可以看到該服務(wù)已經(jīng)添加在遠程計算機上。入侵者一般會(huì )把這個(gè)服務(wù)的啟動(dòng)類(lèi)型設置成“自動(dòng)”，把原來(lái)的“Telnet服務(wù)”停止并禁用，如圖所示。

 

通過(guò)驗證可知，雖然遠程主機上的Telnet服務(wù)已經(jīng)被停止并禁用，但入侵者仍然能夠通過(guò)Telnet來(lái)控制遠程主機。通過(guò)這些修改，即使管理員使用“netstat –n”命令來(lái)查看開(kāi)放端口號也看不出66端口正在提供Telnet服務(wù)。

另外，這里順便介紹一下netstat –n命令。該命令用來(lái)查看本地機當前連接情況，如圖所示。其中，“Proto”列為當前連接的協(xié)議類(lèi)型，如TCP協(xié)議和UDP協(xié)議。“Local Address”列為本地主機的IP地址，從圖可見(jiàn)，本地主機有兩個(gè)IP地址，分別為“192.168.0.2”和“192.168.27.1”。 “Foreign Address”列為遠程主機IP地址。“State”列為當前連接狀態(tài)，其中包括ESTABLISHED（已經(jīng)建立），TIME_WAIT（等待）， SYN_SENT（正在連接）等狀態(tài)。

 

常見(jiàn)問(wèn)題與解答

1．問(wèn)：雖然獲得遠程主機的用戶(hù)名和密碼，但是使用opentelnet連接的時(shí)候失敗，如圖所示，為什么？

 

答：根據返回的錯誤號“53”可知，目標主機沒(méi)有啟動(dòng)Server服務(wù)，或者沒(méi)有開(kāi)放IPC$。

2．問(wèn)：如何才能抵御Telnet入侵？

答：

保證賬號密碼的強壯性，防止被暴力破解。

禁用Telnet服務(wù)。

由于opentelnet是通過(guò)IPC$來(lái)實(shí)現的，所以關(guān)閉IPC$也可以防止一些情況的發(fā)生。

安裝網(wǎng)絡(luò )防火墻。