1、信息安全技術(shù)第15講 黑客攻擊與防范（TLENET高級(jí)入侵） 1課題內(nèi)容：黑客攻擊與防范(Telnet高級(jí)入侵) 教學(xué)目的： 掌握Telnet高級(jí)入侵全攻略教學(xué)方法：講授法、任務(wù)驅(qū)動(dòng)法、演示法重 點(diǎn)：Telnet入侵的方法難 點(diǎn)：Telnet高級(jí)入侵能力培養(yǎng)： 熟悉Telnet高級(jí)入侵課堂類型：講授課教 具：投影儀、多媒體設(shè)備2Telnet入侵殺手锏 從前面的介紹可以看出，即使計(jì)算機(jī)使用了NTLM驗(yàn)證，入侵者還是能夠輕松地去除NTLM驗(yàn)證來實(shí)現(xiàn)Telnet登錄。如果入侵者使用23號(hào)端口登錄，管理員便可以輕易地發(fā)現(xiàn)他們，但不幸的是，入侵者通常不會(huì)通過默認(rèn)的23號(hào)端口進(jìn)行Telnet連接。那么入侵

2、者究竟如何修改Telnet端口，又如何修改Telnet服務(wù)來隱蔽行蹤呢? opentelnet（1） opentelnet簡(jiǎn)介 Opentelnet專門用來解除telnet的NTLM認(rèn)證，方便快捷，不用建立IPC$連接、不必考慮遠(yuǎn)程計(jì)算機(jī)是否正在運(yùn)行telnet服務(wù)，只要有用戶名和密碼，并且主機(jī)開放IPC$連接就行了，是入侵者經(jīng)常使用的telnet登錄工具。不過使用opentelnet打開的telnet服務(wù)，在目標(biāo)主機(jī)重啟動(dòng)后不會(huì)自動(dòng)運(yùn)行。（2） opentelnet的用法 Opentelnet.exe server （3）參數(shù)說明“server”:目標(biāo)主機(jī)IP地址“”：更改telnet的服務(wù)

3、端口。telnet 的默認(rèn)服務(wù)端口是23?！啊保?0：不使用NTLM身份驗(yàn)證。 1：先嘗試NTLM身份驗(yàn)證。如果失敗，再使用用戶名和密碼。 2：只使用NTLM身份驗(yàn)證。Telnet 高級(jí)入侵全攻略1、所需工具X-Scan：用來掃出存在NT弱口令的主機(jī)。opentelnet：用來去NTLM驗(yàn)證、開啟Telnet服務(wù)、 修改Telnet服務(wù)端口。AProMan：用來查看進(jìn)程、殺死進(jìn)程。instsrv：用來給主機(jī)安裝服務(wù)。(1)AProMan簡(jiǎn)介AproMan以命令行方式查看進(jìn)程、殺死進(jìn)程，不會(huì)被殺毒軟件查殺。舉個(gè)例子，如果入侵者發(fā)現(xiàn)目標(biāo)主機(jī)上運(yùn)行有殺毒軟件，會(huì)導(dǎo)致上傳的工具被殺毒軟件查殺，那么他們

4、就會(huì)要在上傳工具前關(guān)閉殺毒防火墻。使用方法如下：c:AProMan.exe -a 顯示所有進(jìn)程c:AProMan.exe -p 顯示端口進(jìn)程關(guān)聯(lián)關(guān)系(需Administrator權(quán)限)c:AProMan.exe -t PID 殺掉指定進(jìn)程號(hào)的進(jìn)程c:AProMan.exe -f 把進(jìn)程及模塊信息存入文件(2)instsrv簡(jiǎn)介 instsrv是一款用命令行就可以安裝、卸載服務(wù)的程序，可以自由指定服務(wù)名稱和服務(wù)所執(zhí)行的程序。 instsrv的用法如下，更詳細(xì)的用法如圖4-40所示。安裝服務(wù)：instsrv 卸載服務(wù)：instsrv REMOVE 步驟一：掃出有NT弱口令的主機(jī)。在X-Scan的“

5、掃描模塊”中選中“NT-SERVER弱口令”，如圖4-41所示。 然后在“指定IP范圍”內(nèi)輸入要掃描主機(jī)的IP，如圖4-42所示。 等待一段時(shí)間后，得到掃描結(jié)果如圖4-43所示。步驟二：用opentelnet打開遠(yuǎn)程主機(jī)Telnet服務(wù)、修改目標(biāo)主機(jī)端口、去除NTLM驗(yàn)證。 無論遠(yuǎn)程主機(jī)是否開啟“Telnet服務(wù)”，入侵者都可以通過工具opentelnet來解決。比如，通過“opentelnet 192.168.46.128 administrator “” 1 66”命令為IP地址為192.168.46.128的主機(jī)去除NTLM認(rèn)證，開啟Telnet服務(wù)，同時(shí)又把Telnet默認(rèn)的23號(hào)登錄

6、端口改成66號(hào)端口,如圖4-44所示。 步驟三：把所需文件(instsrv.exe、AProMan.exe)拷貝到遠(yuǎn)程 主機(jī)。首先建立IPC$，然后通過映射網(wǎng)絡(luò)硬盤的方法把所需文件拷貝、粘貼到遠(yuǎn)程計(jì)算機(jī)的c:winnt文件夾中步驟四：Telnet登錄。在MS-DOS中鍵入命令“telnet 192.168.46.128 66”來登錄遠(yuǎn)程主機(jī)192.168.46.128。步驟五：殺死防火墻進(jìn)程。如果入侵者需要把類似木馬的程序拷貝到遠(yuǎn)程主機(jī)并執(zhí)行，那么他們會(huì)事先關(guān)閉遠(yuǎn)程主機(jī)中的殺毒防火墻。雖然這里沒有拷貝類似木馬的程序到遠(yuǎn)程主機(jī)，但還是要介紹一下這一過程。當(dāng)入侵者登錄成功后，他們會(huì)進(jìn)入到c:win

7、nt目錄中使用AProMan程序。首先通過命令 AProMan A查看所有進(jìn)程，然后找到殺毒防火墻進(jìn)程的PID，最后使用AProMan t PID來殺掉殺毒防火墻。步驟六：另外安裝更為隱蔽的Telnet服務(wù)。為了事后仍然能登錄到該計(jì)算機(jī)，入侵者在第一次登錄之后都會(huì)留下后門。這里來介紹一下入侵者如何通過安裝系統(tǒng)服務(wù)的方法來讓Telnet服務(wù)永遠(yuǎn)運(yùn)行。在安裝服務(wù)之前，有必要了解一下Windows操作系統(tǒng)是如何提供“Telnet服務(wù)”的。打開“計(jì)算機(jī)管理”，然后查看“Telnet服務(wù)”屬性。 在“Telnet 的屬性”窗口中，可以看到其中“可執(zhí)行文件的路徑”指向“C:WINNT SYSTEM32tl

8、ntsvr.exe”。可見，程序tlntsvr.exe就是Windows系統(tǒng)中專門用來提供“Telnet服務(wù)”的。也就是說，如果某服務(wù)指向該程序，那么該服務(wù)就會(huì)提供Telnet服務(wù)。因此，入侵者可以自定義一個(gè)新服務(wù)，將該服務(wù)指向tlntsvr.exe，從而通過該服務(wù)提供的Telnet服務(wù)登錄，這樣做后，即使遠(yuǎn)程主機(jī)上的Telnet服務(wù)是被禁用的，入侵者也可以毫無阻礙的登錄到遠(yuǎn)程計(jì)算機(jī)，這種方法被稱之為 Telnet后門。下面就介紹一下上述過程是如何實(shí)現(xiàn)的。首先進(jìn)入instsrv所在目錄，如圖4-48所示。 然后使用instsrv.exe建立一個(gè)名為“SYSHEALTH”的服務(wù)，并把這個(gè)服務(wù)指向

9、C:WINNT zSYSTEM32tlntsvr.exe，根據(jù)instsrv.exe的用法，鍵入命令“instsrv.exe SYSHEALTH C:WINDOWSSYSTEM32tlntsvr.exe”，如圖4-49所示。 一個(gè)名為“SYSHEAHTH”的服務(wù)就這樣建立成功了。雖然從表面看上去該服務(wù)與遠(yuǎn)程連接不存在任何關(guān)系，但是實(shí)際上該服務(wù)是入侵者留下的Telnet后門服務(wù)。通過“計(jì)算機(jī)管理”可以看到該服務(wù)已經(jīng)添加在遠(yuǎn)程計(jì)算機(jī)上。入侵者一般會(huì)把這個(gè)服務(wù)的啟動(dòng)類型設(shè)置成“自動(dòng)”，把原來的“Telnet服務(wù)”停止并禁用。 通過驗(yàn)證可知，雖然遠(yuǎn)程主機(jī)上的Telnet服務(wù)已經(jīng)被停止并禁用，但入侵者仍然能夠通過Telnet來控制遠(yuǎn)程主機(jī)。通過這些修改，即使管理