突破telnet中NTLM权限验证的几种方法总结

lishiai

远程冲破telnet中NTLM权限验证的多种方法


自从上大学后就很少写这类文章了，谨以此文献给我最爱的爸爸和妈妈，此文章是特别为我的好朋友**暗域网络会员 《闪客幽灵》 所写，希望能对他有所帮助。感谢大家一如既往的支持**暗域网络。

原创声明：
**暗域网络技术资讯站原创文章，文章作者 冰血封情<EvilOctal>，劳烦转载请著名出处。我们将尽力将**暗域网络向学术性的站点偏移。
注意本文是在桂林电子工业学院计算机系专用学生机房做的实验，目标机器的IP这里定为172.16.93.66。相关软件将在文章末尾给出下载地址。

拙笔正文：
前几天，我的一个朋友在我所在的**暗域网络的技术论坛（forum.hackway.net）问了一个有关于telnet的问题，我觉得的确是很有代表性，关于问题具体内容我就不说了，为了节省时间空间这里只给出连接关于telnet中存在的疑问。按照**暗域网络的技术承诺，如果会员问了问题，凡是有必要的，站里都会专门为这位会员写一篇文章做详细[答疑]。由于冰血封情觉得问题太典型，所以我们单独做了一个[原创]文章，为的是让更多的朋友了解这个问题。至于高手就不用看本文了，我所写的也都是笨拙的技巧。
其实，这都是入侵后期的一个技巧。很多情况下，当通过各种方式得到目标计算机的权限之后，为了方便日后登录我们通常会利用或者开起一些目标计算机的服务。telnet便是其中很主要的角色之一。但是众所周知的是，一旦telnet服务开启了NTLM（NT Lan Manager）身份验证，那对入侵者来说是件十分痛苦的事情。今天我们就来简单讨论一下各种解除NTLM的条件和方法。
NO1使用榕哥的作品ntlm.exe
感谢：我们**网络安全界优秀的程序员小榕，欢迎大家访问他的站点NetXEyes，也欢迎大家访问**网络安全最高学府安全焦点，个人比较敬佩小榕前辈。
如果您知道了一台主机的管理员权限，并确切的知道他的用户ID和password，而且对方允许网际进程连接（ipc$）和AT命令，那么你可以使用这种方法。现在先和目标计算机建立一个ipc连接，然后将此文件copy到目标计算机上，然后通过AT命令执行就OK了！这个方法应该是最方便的了，说到头还是得感谢榕哥。这里是浅谈，所以一些实在太过于基础的步骤我就不详细说了，如果有疑问，欢迎访问**暗域网络技术论坛。
NO2通过自己编写batch文件
感谢：其实这种方法N早就在《黑客X档案》上有人写过，我只是综合一下，不知道会不会有'版权纠纷'？哈……不闲扯。这里很感谢2002年8月《黑客X档案》第43页文章《徒手屏蔽远程telnet服务的ntlm认证》的作者heikeangel。
这个方法的实现条件和NO1相同。那么看看原文中heikeangel是怎么说的呢
……大家可以看一下Win2000和NT4自带的tlntadmn这个命令，它是用来控制台修改telnet设置的。很可惜，这是一个控制台的交互式工具，所以at命令没有办法直接调用。现在我们执行一下tlntadmn，然后按照以下的顺序操作：停止服务(5)->更改设置(3)->NTLM(7)->确认更改(y)->修改NTLM当前值(0)->再次确认(y)->退出菜单(0)->启动服务(4)->退出程序(0)……


好了按照所提示的方法，这里我们就编写一个批处理文件，首先用AT命令取得对方系统时间。假设得到对方时间为20:11，然后键入……
at \\172.16.93.66 20:18 "echo 5 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo 3 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo 7 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo y >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo 0 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo y >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo 0 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo 4 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "echo 0 >> c:\evilin.txt"
at \\172.16.93.66 20:18 "c:\winnt\system32\tlntadmn.exe < c:\evilin.txt"
at \\172.16.93.66 20:18 "del c:\evilin.txt /f"
然后再用AT命令执行at 172.16.93.66 20:18 tlntadmn,c:\evilin.txt就一切搞掂了！
NO3通过工具opentelnet.exe
感谢：工具OpenTelnet.exe和ResumeTelnet.exe的作者refdom前辈，他的文章WIN2K的Telnet服务Hacking吐血推荐阅读。当然也欢迎访问**网络安全最高学府安全焦点。
如果您知道了一台主机的管理员权限，并确切的知道他的用户ID和password，并且对方还没开telnet，那么我们就厚起脸皮用高手写的工具开始吧。具体过程refdom前辈已经很详细的介绍在文章中了。（为了方便和本文的结合，我修改了target IP希望refdom前辈理解）

Opentelnet.exe的用法：
OpenTelnet.exe \\server <帐号> <密码> <NTLM认证方式> <Telnet端口>
比如下面的：（命令意思是连接172.16.93.66，帐号administrator，密码123456 ，0表示不使用NTLM认证方式，
Telnet的端口是90）
C:\>OpenTelnet.exe \\172.16.93.66 administrator 123456 0 90
当程序运行后得到：
BINGLE!!!Yeah!!
Telnet Port is 90. You can try:"telnet ip 90", to connect the server!
Disconnecting server...Successfully!
就说明Telnet服务启动成功，并且使用的端口是90。这样，我们就能够得到一个开90端口的Windows 2000 Telnet服务器。
Telnet 172.16.93.66
就可以登录上去了，而且不使用 NTLM认证方式。
ResumeTelnet.exe，是用来恢复Telnet配置的，并关闭Telnet服务器，它的用法是：
ResumeTelnet.exe \\ip <帐号> <密码>
例如：
C:\>ResumeTelnet.exe \\172.16.93.66 administrator 123456
如果程序运行后显示：
BINGLE!!!
The config of remote telnet server is resumed!
Disconnecting server...Successfully!
就说明服务器端Telnet 的配置又返回到原来的状态中了。

再次以最高的敬意感谢refdom前辈。
NO4利用远程注册表实现
如果您知道了一台主机的管理员权限，并确切的知道他的用户ID和password，并且对方开启了远程注册表服务和telnet服务。
首先我们和172.16.93.66建立ipc$连接，然后启动本地的注册表编辑器，选择"工具"中的"连接网络注册表"，在出现的连接对话框中输入172.16.93.66，回车后进入远程注册表，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0下的NTLM键值，将其修改为0或者1，完成后断开所有连接，只要对方重新启动后就彻底摆平！
NO5利用系统新建用户
如果您知道了一台主机的管理员权限，并确切的知道他的用户ID和password，并且对方开启了telnet服务。那么我们来介绍一下这种方法……大体上的目标是在本地建立一个和对方帐号同名同权限的帐号，以这种修改连接身份的方法来绕过验证。
这里具体方法如下。首先照上面所说的建立一个符合要求的用户，这里我们把叫做"跳板"用户，然后在c:\WINNT\SYSTEM32\cmd.exe上单击右键选择"属性"，在"属性"选项卡中勾选"以其他用户身份运行"，"确定"后，双击运行它，输入你所建立的那个"跳板"用户的ID和password，然后直接可以在这个cmd.exe中实现Telnet而不需要NTLM身份验证了。多爽啊？
本文就写到这里，这只是平时积累的点知识，拿出来给大家分享，本文完全免费投放于网络。希望我的拙劣技巧能给大家一点启迪，开放出更新的方法，欢迎来**暗域网络和我讨论，我是菜鸟冰血封情。由于本人的水平不济，文章有不到之处，请高手斧正！再次感谢所有为**网络安全发展做出贡献的高手和前辈们，你们是伟大的。enjoy it! Good luck: )