maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/network-services-pentesting/pentesting-telnet.md'] to f

Browse Source
This commit is contained in:
Translator 2025-07-13 21:25:48 +00:00
parent d56b532403
commit 6183c7bd6b
1 changed files with 58 additions and 2 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

60
src/network-services-pentesting/pentesting-telnet.md
View File

@ -29,7 +29,7 @@ Dans le [telnet RFC](https://datatracker.ietf.org/doc/html/rfc854) : Dans le pro
### [Brute force](../generic-hacking/brute-force.md#telnet)
## Config file
## Fichier de configuration
```bash
/etc/inetd.conf
/etc/xinetd.d/telnet
@ -67,4 +67,60 @@ Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/telnet/telnet_version; set RHOSTS {IP}; set RPORT 23; run; exit' && msfconsole -q -x 'use auxiliary/scanner/telnet/brocade_enable_login; set RHOSTS {IP}; set RPORT 23; run; exit' && msfconsole -q -x 'use auxiliary/scanner/telnet/telnet_encrypt_overflow; set RHOSTS {IP}; set RPORT 23; run; exit' && msfconsole -q -x 'use auxiliary/scanner/telnet/telnet_ruggedcom; set RHOSTS {IP}; set RPORT 23; run; exit'
```
{{#include ../banners/hacktricks-training.md}}
### Vulnérabilités Récentes (2022-2025)
* **CVE-2024-45698 Routeurs D-Link Wi-Fi 6 (DIR-X4860)** : Le service Telnet intégré acceptait des identifiants codés en dur et ne parvenait pas à assainir les entrées, permettant une exécution de code à distance non authentifiée en tant que root via des commandes élaborées sur le port 23. Corrigé dans le firmware ≥ 1.04B05.
* **CVE-2023-40478 NETGEAR RAX30** : Débordement de tampon basé sur la pile dans la commande `passwd` de l'interface en ligne de commande Telnet permettant à un attaquant adjacent de contourner l'authentification et d'exécuter du code arbitraire en tant que root.
* **CVE-2022-39028 GNU inetutils telnetd** : Une séquence de deux octets (`0xff 0xf7` / `0xff 0xf8`) déclenche une déréférence de pointeur NULL qui peut faire planter `telnetd`, entraînant un DoS persistant après plusieurs plantages.
Gardez ces CVE à l'esprit lors de la triage des vulnérabilités—si la cible exécute un firmware non corrigé ou un démon Telnet inetutils hérité, vous pourriez avoir un chemin direct vers l'exécution de code ou un DoS perturbateur.
### Capture de Credentials & Attaque de l'Homme du Milieu
Telnet transmet tout, y compris les identifiants, en **texte clair**. Deux façons rapides de les capturer :
```bash
# Live capture with tcpdump (print ASCII)
sudo tcpdump -i eth0 -A 'tcp port 23 and not src host $(hostname -I | cut -d" " -f1)'
# Wireshark display filter
tcp.port == 23 && (telnet.data || telnet.option)
```
Pour un MITM actif, combinez le spoofing ARP (par exemple, `arpspoof`/`ettercap`) avec les mêmes filtres de sniffing pour récolter des mots de passe sur des réseaux commutés.
### Force brute automatisée / Spray de mots de passe
```bash
# Hydra (stop at first valid login)
hydra -L users.txt -P rockyou.txt -t 4 -f telnet://<IP>
# Ncrack (drop to interactive session on success)
ncrack -p 23 --user admin -P common-pass.txt --connection-limit 4 <IP>
# Medusa (parallel hosts)
medusa -M telnet -h targets.txt -U users.txt -P passwords.txt -t 6 -f
```
La plupart des botnets IoT (variantes de Mirai) scannent toujours le port 23 avec de petits dictionnaires de mots de passe par défaut—reproduire cette logique peut rapidement identifier des dispositifs faibles.
### Exploitation & Post-Exploitation
Metasploit dispose de plusieurs modules utiles :
* `auxiliary/scanner/telnet/telnet_version` énumération de bannières et d'options.
* `auxiliary/scanner/telnet/brute_telnet` bruteforce multithreadé.
* `auxiliary/scanner/telnet/telnet_encrypt_overflow` RCE contre Telnet vulnérable de Solaris 9/10 (gestion de l'option ENCRYPT).
* `exploit/linux/mips/netgear_telnetenable` active le service telnet avec un paquet conçu sur de nombreux routeurs NETGEAR.
Après avoir obtenu un shell, rappelez-vous que **les TTY sont généralement simples** ; mettez à niveau avec `python -c 'import pty;pty.spawn("/bin/bash")'` ou utilisez les [trucs TTY de HackTricks](/generic-hacking/reverse-shells/full-ttys.md).
### Renforcement & Détection (coin de l'équipe bleue)
1. Préférez SSH et désactivez complètement le service Telnet.
2. Si Telnet est nécessaire, liez-le uniquement aux VLANs de gestion, appliquez des ACL et enveloppez le démon avec des wrappers TCP (`/etc/hosts.allow`).
3. Remplacez les implémentations héritées de `telnetd` par `ssl-telnet` ou `telnetd-ssl` pour ajouter un chiffrement de transport, mais **cela ne protège que les données en transit—la devinette de mot de passe reste triviale**.
4. Surveillez le trafic sortant vers le port 23 ; les compromissions génèrent souvent des shells inversés via Telnet pour contourner les filtres de sortie HTTP stricts.
## Références
* D-Link Advisory CVE-2024-45698 RCE Telnet critique.
* NVD CVE-2022-39028 inetutils `telnetd` DoS.
{{#include /banners/hacktricks-training.md}}