討論了一些Telnet原理方面的東西，盡管理論的知識(shí)總是單調(diào)又乏味，但是在一些應(yīng)用中，還是很有必要知道的。那么接下來我們就講解一下如何啟動(dòng)Win2000 Telnet服務(wù)。具體的步驟請(qǐng)看下文。

Win2000 Telnet服務(wù)

Telnet服務(wù)其實(shí)從應(yīng)用層面上，Win2000 Telnet服務(wù)并沒有什么可說的，絕大部分內(nèi)容你都可以從HELP文件中得到，我在此只是把它稍微整理一下而已。

1 基本配置

Win2000為我們提供了Telnet客戶機(jī)和服務(wù)器程序：Telnet.exe是客戶機(jī)程序（Client），tlntsvr.exe是服務(wù)器程序（server），同時(shí)它還為我們提供了Telnet服務(wù)器管理程序tlntadmn.exe。Windows 2000 默認(rèn)安裝了 Telnet 服務(wù)，但是并沒有默認(rèn)啟動(dòng)。下面給出HELP文件中 Telnet 服務(wù)的一部分默認(rèn)設(shè)置：

AllowTrustedDomain：是否允許域用戶訪問。默認(rèn)值是1，允許信任域用戶訪問?？梢愿臑?: 不允許域用戶訪問（只允許本地用戶）。

DefaultDomain：可以對(duì)與該計(jì)算機(jī)具有信任關(guān)系的任何域設(shè)置。默認(rèn)值是"."。

DefaultShell：顯示 shell 安裝的路徑位置。默認(rèn)值是： %systemroot%\System32\Cmd.exe /q /k

MaxFailedLogins：在連接終止之前顯示嘗試登錄失敗的最大次數(shù)。默認(rèn)是3。

LoginScript：顯示 Telnet 服務(wù)器登錄腳本的路徑位置。默認(rèn)的位置就是“%systemroot%\System32\login.cmd”，你可以更改腳本內(nèi)容，這樣登錄進(jìn)Telnet的歡迎屏幕就不一樣了。NTLM：NTLM身份驗(yàn)證選項(xiàng)。默認(rèn)是2。可以有下面這些值：

0: 不使用 NTLM 身份驗(yàn)證。

1: 先嘗試 NTLM 身份驗(yàn)證，如果失敗，再使用用戶名和密碼。

2: 只使用 NTLM 身份驗(yàn)證。

TelnetPort：顯示 telnet 服務(wù)器偵聽telnet請(qǐng)求的端口。默認(rèn)是：23。你也可以更改為其他端口。

以上各項(xiàng)設(shè)置你可以使用tlntadmn.exe（Telnet服務(wù)器管理程序）來進(jìn)行非常方便的配置，配置后需要重新啟動(dòng)Telnet服務(wù)。

2 NTLM

提到了telnet就不能不提NTLM，我想這也是讓入侵者最為頭痛的一件事，哪怕你獲得了管理員帳號(hào)和密碼，想簡(jiǎn)單通過NTLM也并非易事，況且Win2000 Telnet服務(wù)默認(rèn)僅以NTLM方式驗(yàn)證身份，這就讓我們不得不關(guān)注NTLM這個(gè)東東，那么什么是NTLM呢？

早期的SMB協(xié)議在網(wǎng)絡(luò)上明文傳輸口令，后來出現(xiàn)了"LAN Manager Challenge/Response"驗(yàn)證機(jī)制，簡(jiǎn)稱LM，它十分簡(jiǎn)單以至很容易被破解，微軟隨后提出了WindowsNT挑戰(zhàn)/響應(yīng)驗(yàn)證機(jī)制，即NTLM。現(xiàn)在已經(jīng)有了更新的NTLMv2以及Kerberos驗(yàn)證體系。NTLM工作流程是這樣的：

1、客戶端首先在本地加密當(dāng)前用戶的密碼成為密碼散列

2、客戶端向服務(wù)器發(fā)送自己的帳號(hào)，這個(gè)帳號(hào)是沒有經(jīng)過加密的，明文直接傳輸

3、服務(wù)器產(chǎn)生一個(gè)16位的隨機(jī)數(shù)字發(fā)送給客戶端，作為一個(gè) challenge（挑戰(zhàn)）

4、客戶端再用加密后的密碼散列來加密這個(gè) challenge ，然后把這個(gè)返回給服務(wù)器。作為 response（響應(yīng)）

5、服務(wù)器把用戶名、給客戶端的challenge 、客戶端返回的 response 這三個(gè)東西，發(fā)送域控制器

6、域控制器用這個(gè)用戶名在SAM密碼管理庫(kù)中找到這個(gè)用戶的密碼散列，然后使用這個(gè)密碼散列來加密 challenge。

7、域控制器比較兩次加密的 challenge ，如果一樣，那么認(rèn)證成功。#p#

從上面的過程我們可以看出，NTLM是以當(dāng)前用戶的身份向Telnet服務(wù)器發(fā)送登錄請(qǐng)求的，而不是用你掃到的對(duì)方管理員的帳戶和密碼登錄，顯然，你的登錄將會(huì)失敗。舉個(gè)例子來說，你家的機(jī)器名為A（本地機(jī)器），你入侵的機(jī)器名為B（遠(yuǎn)地機(jī)器），你在A上的帳戶是xinxin，密碼是1234，你掃到B的管理員帳號(hào)是Administrator，密碼是5678，當(dāng)你想Telnet到B時(shí)，NTLM將自動(dòng)以當(dāng)前用戶的帳號(hào)和密碼作為登錄的憑據(jù)來進(jìn)行上面的7項(xiàng)操作，即用xinxin和1234，而并非用你掃到的Administrator和5678，且這些都是自動(dòng)完成的，根本不給你插手的機(jī)會(huì)，因此你的登錄操作將失敗。

由于Telnet服務(wù)器對(duì)NTLM的使用有3個(gè)選項(xiàng)，所以當(dāng)你Telnet遠(yuǎn)地機(jī)器時(shí)，會(huì)顯示下面情況中的一種：

1)身份驗(yàn)證選項(xiàng)=0時(shí)

Microsoft (R) Windows (TM) Version 5.00 (Build 2195)
Welcome to Microsoft Telnet Service
Telnet Server Build 5.00.99201.1
login:
password:
\\為0時(shí)不使用NTML身份驗(yàn)證，直接輸入用戶名和密碼，比如你可以輸入掃到的Administrator和5678

2)身份驗(yàn)證選項(xiàng)=1時(shí)

NTLM Authentication failed due to insufficient credentials. Please login withclear text username and password
Microsoft (R) Windows (TM) Version 5.00 (Build 2195)
Welcome to Microsoft Telnet Service
Telnet Server Build 5.00.99201.1
login:
password:
\\先嘗試 NTLM 身份驗(yàn)證，如果失敗，再使用用戶名和密碼，其實(shí)這種方式對(duì)于大家來說，與上一種方式?jīng)]什么區(qū)別

3)身份驗(yàn)證選項(xiàng)=2時(shí)

NTLM Authentication failed due to insufficient credentials. Please login withclear text username and password
Server allows NTLM authentication only
Server has closed connection
遺失對(duì)主機(jī)的連接。
C:\>
\\仔細(xì)看看上面的顯示，根本沒有給你輸入用戶名和密碼的機(jī)會(huì)，直接斷開連接，掃到了密碼也是白掃。

所以對(duì)于入侵者來說，NTLM是橫在我們面前的一座大山，必須要除掉它，一般我們有如下幾種方法：

1通過修改遠(yuǎn)程注冊(cè)表更改telnet服務(wù)器配置，將驗(yàn)證方式從2改為1或0；

2使用NTLM.exe，上傳后直接運(yùn)行，可將telnet服務(wù)器驗(yàn)證方式從2改為1；

3在本地建立掃描到的用戶，以此用戶身份開啟telnet客戶機(jī)并進(jìn)行遠(yuǎn)程登錄；

4使用軟件，比如opentelnet.exe（需要管理員權(quán)限且開啟IPC管道）

5使用腳本，如RTCS，（需要管理員權(quán)限但不依賴IPC管道）

基本上是以上的5種，其中后兩種是我們?cè)赪in2000 Telnet服務(wù)啟動(dòng)中比較常用的，而且使用方法十分簡(jiǎn)單，命令如下：

OpenTelnet.exe \\server username password NTLMAuthor telnetport
OpenTelnet.exe \\服務(wù)器地址 管理員用戶名 密碼 驗(yàn)證方式（填0或1） telnet端口
cscript RTCS.vbe targetIP username password NTLMAuthor telnetport
cscript RTCS.vbe