黑客知识 Telnet高级入侵攻略及原理

　　从前面的介绍可以看出，即使计算机使用了NTLM验证，入侵者还是能够轻松地去除NTLM验证来实现Telnet登录。如果入侵者使用23号端口登录，管理员便可以轻易地发现他们，但不幸的是，入侵者通常不会通过默认的23号端口进行Telnet连接。那么入侵者究竟如何修改Telnet端口，又如何修改Telnet服务来隐蔽行踪呢?下面举一些常见的例子来说明这一过程，并介绍一下完成这一过程所需要的工具。

　　X-Scan：用来扫出存在NT弱口令的主机。

　　opentelnet：用来去NTLM验证、开启Telnet服务、修改Telnet服务端口。

　　AProMan：用来查看进程、杀死进程。

　　instsrv：用来给主机安装服务。

　　(1)AProMan简介

　　AproMan以命令行方式查看进程、杀死进程，不会被杀毒软件查杀。举个例子，如果入侵者发现目标主机上运行有杀毒软件，会导致上传的工具被杀毒软件查杀，那么他们就会要在上传工具前关闭杀毒防火墙。使用方法如下：

　　c:\AProMan.exe -a 显示所有进程

　　c:\AProMan.exe -p 显示端口进程关联关系(需Administrator权限)

　　c:\AProMan.exe -t [PID] 杀掉指定进程号的进程

　　c:\AProMan.exe -f [FileName] 把进程及模块信息存入文件

　　(2)instsrv简介

　　instsrv是一款用命令行就可以安装、卸载服务的程序，可以自由指定服务名称和服务所执行的程序。instsrv的用法如下，更详细的用法如图2-61所示。

　　安装服务：instsrv <服务名称> <执行程序的位置>

　　卸载服务：instsrv <服务名称> REMOVE

　　还有另一款优秀的远程服务管理工具SC。它属于命令行工具，可以在本地对远程计算机上的服务进行查询、启动、停止和删除。它的用法很简单，这里不作介绍了。下面通过实例来介绍入侵者如何实现Telnet登录并留下Telnet后门的过程。

　　步骤一：扫出有NT弱口令的主机。在X-Scan的“扫描模块”中选中“NT-SERVER弱口令”，如图所示。

　　然后在“扫描参数中”指定扫描范围为“192.168.27.2到192.168.27.253”，如图2所示。

　　等待一段时间后，得到扫描结果如图所示。