經(jīng)常搞服務(wù)器的朋友對(duì)后門一定不陌生，后門的好壞直接決定著你控制服務(wù)器的時(shí)間長(zhǎng)短。后門弄不好的話，今天能上，明天被踢，就是常有的事了。今天給大家介紹一種特殊后門的建立方法，就是Telnet后門。

關(guān)于Telnet

Telnet用于Internet的遠(yuǎn)程登錄。它可以使用戶坐在已上網(wǎng)的電腦前，通過網(wǎng)絡(luò)進(jìn)入另一臺(tái)已上網(wǎng)的電腦，使它們互相連通。這種連通可以發(fā)生在同一房間里面的電腦，或是在世界各范圍內(nèi)已上網(wǎng)的電腦。一般來說，被連通并且為網(wǎng)絡(luò)上所有用戶提供服務(wù)的計(jì)算機(jī)稱之為服務(wù)器(Servers)，而自己使用的機(jī)器則稱為客戶機(jī)(Customer)。一旦連通后，客戶機(jī)可以享有服務(wù)器所提供的一切服務(wù)。

下面介紹我們來認(rèn)識(shí)一下關(guān)于Telnet的相關(guān)程序。

telnet．exe是客戶機(jī)程序(Client)，我們本地機(jī)登錄遠(yuǎn)程服務(wù)器就是通過它。

tlntsvr．xe是服務(wù)器程序(Server)，在遠(yuǎn)程服務(wù)器運(yùn)行，由Telnet服務(wù)指向并啟動(dòng)。

tlntadmn．exe是Telnet服務(wù)器管理程序，可以用它對(duì)服務(wù)器程序進(jìn)行配置。

我們可以看到。如此方便的程序，給黑客們做后門是再好不過了。然而，服務(wù)器管理員迫于Telnet的“好名聲”，不敢享用這個(gè)好東西，紛紛把它禁用掉了，這就把我們小黑們用Telnet的權(quán)利給剝奪了。

奪回使用Telnet服務(wù)的權(quán)利

拿到服務(wù)器后，建個(gè)隱藏用戶是“小菜一碟”。但是以后我們通過什么樣的途徑進(jìn)入呢?此時(shí)，服務(wù)端禁用的Telnet服務(wù)常令小黑們咬牙切齒。要想使用它必須讓服務(wù)器端程序tlntsvrexe運(yùn)行。不過，如果把禁用的服務(wù)重新啟用。不等于告訴管理員我們到這里遛過一圈嗎?看來只能另想其他方法了。這里我給大家提供兩種方法：

方法一：

既然tlntsvr．exe是提供服務(wù)的主程序，我們重新建立一個(gè)服務(wù)指向它不就行了。這樣查看服務(wù)時(shí)，Telnet服務(wù)雖然仍被禁用，可實(shí)際上，新建的服務(wù)已經(jīng)讓tlntsvr exe為我們大開方便之門。

首先，在服務(wù)器端建立服務(wù)。我們用wIndows自帶的程序sc．exe實(shí)現(xiàn)。在命令行下鍵入“sc”顯示幫助文件，sc．exe用法很多，這里我們用“sc create”命令來創(chuàng)建服務(wù)。

用法：sc create[servlce name][binPath=]〈optionl〉〈option2〉

鍵入命令“sc create Secu rity binPath=c：\\Windows\\system32\intsvr，exe start=auto”

表示創(chuàng)建一個(gè)服務(wù)名稱為Security，啟動(dòng)類型為自動(dòng)的服務(wù)，服務(wù)指向程序“c：\\windows\\ystem32\lntsvr．exe”。

如果顯示[SC]CreateSe rvice SUCCESS則表示服務(wù)創(chuàng)建成功。

然后，用“net start Security”命令啟動(dòng)服務(wù)。

這時(shí)，我們打開服務(wù)管理可見，Securlty服務(wù)已經(jīng)啟動(dòng)，但Telnet服務(wù)依然顯示禁用。

方法二：

上述方法雖然可以實(shí)現(xiàn)我們的目的，但缺點(diǎn)也是有的。我們用奇虎360查看一下服務(wù)，Security服務(wù)不僅安全級(jí)別為未知，而且路徑也清楚得顯示出了服務(wù)指向的tlntsvr．exe主程序。

為克服這個(gè)缺點(diǎn)，我們可以采用另外一種方法，替換服務(wù)法。Windows系統(tǒng)服務(wù)分為獨(dú)立進(jìn)程服務(wù)和共享進(jìn)程服務(wù)兩種。共享服務(wù)由Svchost進(jìn)程啟動(dòng)。這里我們替換獨(dú)立進(jìn)程，因?yàn)檫@種服務(wù)指向獨(dú)立的程序。IMAPI CD－BurnIng COM Servlce服務(wù)指向C：\\WiNDOWS\\system32\\mapi．exe，管理CD錄制，默認(rèn)情況沒有啟動(dòng)。我們將tIntsvr exe復(fù)制出來，重命名為mapi．exe，替換掉原imapi．exe。然后將IMAPI CD－Burning COMService服務(wù)啟動(dòng)，這時(shí)，偽裝的Telnet服務(wù)主程序已經(jīng)悄悄運(yùn)行。而且用奇虎360也看不到多余的服務(wù)。

配置Telnet服務(wù)，實(shí)現(xiàn)進(jìn)一步偽裝

偽造的Telnet服務(wù)雖然開始工作了，但我們?cè)诿钚邢拢谩皀etstat－an”命令查看，發(fā)現(xiàn)23端口也打開了。稍有經(jīng)驗(yàn)的管理員都知道，23端口是用來進(jìn)行Telnet通信的?？磥砦覀冞€得對(duì)它進(jìn)行進(jìn)一步的偽裝。

tIntadmn．exe是Telnet服務(wù)器管理程序，命令“tlntadmn/?”可查看幫助文件，這里我用tIntadmn config port=895將Telnet服務(wù)端口修改為859。端口號(hào)可隨便設(shè)，但應(yīng)小于1024。這時(shí)再查看一下端口，23號(hào)是不是已經(jīng)不在啦?

說到這里，我們順便說一下Telnet的身份驗(yàn)證，這里有NTLM、Password兩種形式。這兩種形式相互組合，可有以下三種形式

1當(dāng)兩種驗(yàn)證都存在的情況下，系統(tǒng)先進(jìn)行NTLM驗(yàn)證，失敗后再進(jìn)行Password驗(yàn)證。

2當(dāng)只有Password驗(yàn)證沒有NTLM驗(yàn)證時(shí)，則只進(jìn)行Password驗(yàn)證。

3當(dāng)只有NTLM驗(yàn)證沒有Password驗(yàn)證時(shí)，則只進(jìn)行NTLM驗(yàn)證，失敗后，則退出。

因此我們必須保證Pas swo rd驗(yàn)證存在。用tlntadmn命令可查看。如果不存在，則通過“tlntadmn config sec=+passwd”命令進(jìn)行添加。

這時(shí)。我們的Telnet后門就大功告成了。

三種后門的比較

木馬后門、3389后門是我們經(jīng)常接觸到的兩種后門，與上面說到的Telnet后門相比，三者各有利弊。

先說我們的Telnet后門。雖然有一定的隱蔽性，但畢竟沒有繞過Windows的身份驗(yàn)證。因此，在服務(wù)器上，一旦克隆用戶被刪掉，那么Telnet后門也就形同虛設(shè)了。

3389后門繞過了Windows的身份驗(yàn)證，在登錄界面按五下shifl郎可呼出cmd界面，很方便。但是隱蔽性差了一些，而且一旦管理員關(guān)閉遠(yuǎn)程桌面服務(wù)或是換個(gè)端口，肉雞就丟了。

木馬后門克服了上述兩種后門的缺點(diǎn)，但木馬終究是木馬，免不了被殺毒軟件追殺。就算一時(shí)不被殺，管理員用數(shù)字簽名的方法也很容易把它從眾多系統(tǒng)文件中揪出來。而上述兩種后門則完全采用系統(tǒng)自帶程序，這方面要優(yōu)越一些。

總之，這三種后門各有利弊。大家只要靈活運(yùn)用，一定會(huì)收到很好的效果。