步驟一:掃出有NT弱口令的主機。在X-Scan的“掃描模塊”中選中“NT-SERVER弱口令”,如圖所示。
然後在“掃描參數中”指定掃描範圍爲“192.168.27.2到192.168.27.253”,如圖2所示。
等待一段時間後,得到掃描結果如圖所示。
步驟二:用opentelnet打開遠程主機Telnet服務、修改目標主機端口、去除NTLM驗證。
無論遠程主機是否開啓“Telnet服務”,***者都可以通過工具opentelnet來解決。比如,通過“opentelnet \\192.168.27.129 administrator "" 1 66”命令爲IP地址爲192.168. 27.129的主機去除NTLM認證,開啓Telnet服務,同時又把Telnet默認的23號登錄端口改成66號端口。
步驟三:把所需文件(instsrv.exe、AProMan.exe)拷貝到遠程主機。
首先建立IPC$,然後通過映射網絡硬盤的方法把所需文件拷貝、粘貼到遠程計算機的c:\winnt文件夾中,具體過程如圖所示。
拷貝成功後,如圖所示。
步驟四:Telnet登錄。
在MS-DOS中鍵入命令“telnet 192.168.27.129 66”來登錄遠程主機192.168.27.129。
步驟五:殺死防火牆進程。
如果***者需要把類似***的程序拷貝到遠程主機並執行,那麼他們會事先關閉遠程主機中的殺毒防火牆。雖然這裏沒有拷貝類似***的程序到遠程主機,但還是要介紹一下這一過程。當***者登錄成功後,他們會進入到c:\winnt目錄中使用AProMan程序。首先通過命令 AProMan –A查看所有進程,然後找到殺毒防火牆進程的PID,最後使用AProMan –t [PID]來殺掉殺毒防火牆。
步驟六:另外安裝更爲隱蔽的Telnet服務。
爲了事後仍然能登錄到該計算機,***者在第一次登錄之後都會留下後門。這裏來介紹一下***者如何通過安裝系統服務的方法來讓Telnet服務永遠運行。在安裝服務之前,有必要了解一下Windows操作系統是如何提供“Telnet服務”的。打開“計算機管理”,然後查看“Telnet服務”屬性,如圖示。
在“Telnet 的屬性”窗口中,可以看到其中“可執行文件的路徑”指向“C:\WINNT\ SYSTEM32\tlntsvr.exe”。可見,程序tlntsvr.exe就是Windows系統中專門用來提供“Telnet服務”的。也就是說,如果某服務指向該程序,那麼該服務就會提供Telnet服務。因此,***者可以自定義一個新服務,將該服務指向tlntsvr.exe,從而通過該服務提供的Telnet服務登錄,這樣做後,即使遠程主機上的Telnet服務是被禁用的,***者也可以毫無阻礙的登錄到遠程計算機,這種方法被稱之爲 Telnet後門。下面就介紹一下上述過程是如何實現的。首先進入instsrv所在目錄,如圖所示。
然後使用instsrv.exe建立一個名爲“SYSHEALTH”的服務,並把這個服務指向C:\WINNT z\SYSTEM32\tlntsvr.exe,根據instsrv.exe的用法,鍵入命令“instsrv.exe SYSHEALTH C:\WINNT\SYSTEM32\tlntsvr.exe”,如圖所示。
一個名爲“SYSHEAHTH”的服務就這樣建立成功了。雖然從表面看上去該服務與遠程連接不存在任何關係,但是實際上該服務是***者留下的Telnet後門服務。
通過“計算機管理”可以看到該服務已經添加在遠程計算機上。***者一般會把這個服務的啓動類型設置成“自動”,把原來的“Telnet服務”停止並禁用,如圖所示。