PHOTO 1.4
现在这种服务将启动时被启动,并且作为localsystem来运行 。肯定是微软做了一些东西阻止我进这台机器并且执行我想执行的命令 。他们做了!它叫做 NTLM 认证而且远程登录被设置仅仅由缺省的NTLM所批准 。并且只有WIN2000的远程登录将鉴别NTLM 。那意味着什么?这意味着,如果你的帐号和口令没有通过确认的话,或者没有确认你是在认可的域里面的话,系统将拒绝你的访问 。
我在我的机器上测试了远程登录服务,我在控制台启动了远程登录服务 。我怀疑设置了telnetserver在注册表里面的键值,就可以避免NTLM 。为了验证我的怀疑,我连接了远程机器的注册表,并把
HKEY_LOCAL_MacHINESOFTWAREMicrosoftTelnetServer1.0 的键值从2改
到1,再重新启动服务 。
结果:
一分钟以后并且我通过远程登录登录到这台机器!!现在我可以完全的控制这台机器,建立用户帐号和格式化驱动器,以及利用这台机器来运行攻击程序进行攻击 。
利用一些命令以后我建立了一个ADM组的用户帐号 并且创造了一隐蔽的运行攻击的目录,然后我ftp到我的ftp站点并且下载我需要运行的程序,并且启动了Scheduler服务在早上运行我的攻击程序,并把结果用FTP传送给我,这就不会有人注意到了 。
危险性
有些人可能会问,为什么开telnet服务是危险的,OK,我会入侵到你的机器,在telnet到whitehouse.gov,并用一个反政府的页面替换它,服务器会记录你的IP,那么你就会有大麻烦了 。
问题的解决:
按我的意见,至少要删除c:winntsystem32tlntsvr.exe文件,因为普通的用户不需要这项服务 。
【Windows 2000 安全】参考文献
http://www.compsecurity.net/
解决方案
如果您没有必要,请关闭所有的共享,并将所有用户加上较复杂的密码至少要删除c:winntsystem32tlntsvr.exe文件,因为普通的用户不需要这项服务 。
推荐阅读
- 详述Win 2000日志及其删除方法
- 1 《Undocumented Windows 2000 Secrets》翻译 --- 第五章
- 1 《Undocumented Windows 2000 Secrets》翻译 --- 2
- 在Windows NT域和Windows 2000域之间建立信任关系
- 移花接木 解决Windows 2000无法启动的问题
- 使用命令行参数为系统打补丁
- 克隆windows 2000管理员帐号
- Windows 2000 优化完全攻略
- Win2000模块解析工具
- 打造更加快速优质的Windows 2000