From 8a394745a9234ed1714a6c4b7a7301288e102744 Mon Sep 17 00:00:00 2001 From: Translator Date: Sun, 13 Jul 2025 21:25:11 +0000 Subject: [PATCH] Translated ['src/network-services-pentesting/pentesting-telnet.md'] to j --- .../pentesting-telnet.md | 62 ++++++++++++++++++- 1 file changed, 59 insertions(+), 3 deletions(-) diff --git a/src/network-services-pentesting/pentesting-telnet.md b/src/network-services-pentesting/pentesting-telnet.md index cf174b150..d4f9478b6 100644 --- a/src/network-services-pentesting/pentesting-telnet.md +++ b/src/network-services-pentesting/pentesting-telnet.md @@ -13,7 +13,7 @@ Telnetは、ユーザーがネットワークを介してコンピュータに ``` ## **列挙** -### **バナーグラビング** +### **バナーグラブ** ```bash nc -vn 23 ``` @@ -23,7 +23,7 @@ nmap -n -sV -Pn --script "*telnet* and safe" -p 23 ``` スクリプト `telnet-ntlm-info.nse` は NTLM 情報 (Windows バージョン) を取得します。 -[telnet RFC](https://datatracker.ietf.org/doc/html/rfc854) より: TELNET プロトコルには、ユーザーとサーバーが TELNET 接続のためにより複雑な(または単に異なる)一連の規約を使用することに合意できるようにするために、"**DO, DON'T, WILL, WON'T**" 構造で使用されるさまざまな "**options**" が含まれています。これらのオプションには、文字セットの変更、エコーモードの変更などが含まれる可能性があります。 +[telnet RFC](https://datatracker.ietf.org/doc/html/rfc854) から: TELNET プロトコルには、ユーザーとサーバーが TELNET 接続のためにより複雑な (または単に異なる) 規約のセットを使用することに合意できるようにするために、"**DO, DON'T, WILL, WON'T**" 構造で使用されるさまざまな "**options**" があります。これらのオプションには、文字セットの変更、エコーモードの変更などが含まれる可能性があります。 **このオプションを列挙することが可能であることは知っていますが、方法がわからないので、知っている場合は教えてください。** @@ -67,4 +67,60 @@ Note: sourced from https://github.com/carlospolop/legion Command: msfconsole -q -x 'use auxiliary/scanner/telnet/telnet_version; set RHOSTS {IP}; set RPORT 23; run; exit' && msfconsole -q -x 'use auxiliary/scanner/telnet/brocade_enable_login; set RHOSTS {IP}; set RPORT 23; run; exit' && msfconsole -q -x 'use auxiliary/scanner/telnet/telnet_encrypt_overflow; set RHOSTS {IP}; set RPORT 23; run; exit' && msfconsole -q -x 'use auxiliary/scanner/telnet/telnet_ruggedcom; set RHOSTS {IP}; set RPORT 23; run; exit' ``` -{{#include ../banners/hacktricks-training.md}} +### Recent Vulnerabilities (2022-2025) + +* **CVE-2024-45698 – D-Link Wi-Fi 6 routers (DIR-X4860)**: 内蔵のTelnetサービスはハードコーディングされた認証情報を受け入れ、入力をサニタイズしなかったため、ポート23での作成されたコマンドを介して、ルートとして認証されていないリモートRCEを可能にしました。ファームウェア≥ 1.04B05で修正されました。 +* **CVE-2023-40478 – NETGEAR RAX30**: Telnet CLI `passwd`コマンドのスタックベースのバッファオーバーフローにより、隣接する攻撃者が認証をバイパスし、ルートとして任意のコードを実行できるようになります。 +* **CVE-2022-39028 – GNU inetutils telnetd**: 2バイトのシーケンス(`0xff 0xf7` / `0xff 0xf8`)がNULLポインタのデリファレンスを引き起こし、`telnetd`をクラッシュさせる可能性があり、いくつかのクラッシュの後に持続的なDoSを引き起こします。 + +脆弱性のトリアージ中にこれらのCVEを念頭に置いてください。ターゲットがパッチ未適用のファームウェアまたはレガシーinetutils Telnetデーモンを実行している場合、コード実行または破壊的なDoSへの直接的な道があるかもしれません。 + +### Sniffing Credentials & Man-in-the-Middle + +Telnetは、認証情報を含むすべてを**平文**で送信します。これをキャプチャするための2つの迅速な方法: +```bash +# Live capture with tcpdump (print ASCII) +sudo tcpdump -i eth0 -A 'tcp port 23 and not src host $(hostname -I | cut -d" " -f1)' + +# Wireshark display filter +tcp.port == 23 && (telnet.data || telnet.option) +``` +アクティブMITMの場合、ARPスプーフィング(例:`arpspoof`/`ettercap`)を同じスニッフィングフィルターと組み合わせて、スイッチネットワーク上でパスワードを収集します。 + +### 自動ブルートフォース / パスワードスプレー +```bash +# Hydra (stop at first valid login) +hydra -L users.txt -P rockyou.txt -t 4 -f telnet:// + +# Ncrack (drop to interactive session on success) +ncrack -p 23 --user admin -P common-pass.txt --connection-limit 4 + +# Medusa (parallel hosts) +medusa -M telnet -h targets.txt -U users.txt -P passwords.txt -t 6 -f +``` +ほとんどのIoTボットネット(Miraiバリアント)は、デフォルトの資格情報辞書を使用してポート23をスキャンします。このロジックを反映させることで、脆弱なデバイスを迅速に特定できます。 + +### 攻撃とポストエクスプロイト + +Metasploitにはいくつかの便利なモジュールがあります: + +* `auxiliary/scanner/telnet/telnet_version` – バナーとオプションの列挙。 +* `auxiliary/scanner/telnet/brute_telnet` – マルチスレッドブルートフォース。 +* `auxiliary/scanner/telnet/telnet_encrypt_overflow` – 脆弱なSolaris 9/10 Telnetに対するRCE(オプションENCRYPTの処理)。 +* `exploit/linux/mips/netgear_telnetenable` – 多くのNETGEARルーターで作成したパケットを使用してtelnetサービスを有効にします。 + +シェルを取得した後は、**TTYは通常ダムであることを忘れないでください**;`python -c 'import pty;pty.spawn("/bin/bash")'`でアップグレードするか、[HackTricks TTY tricks](/generic-hacking/reverse-shells/full-ttys.md)を使用してください。 + +### ハードニングと検出(ブルーチームコーナー) + +1. SSHを優先し、Telnetサービスを完全に無効にします。 +2. Telnetが必要な場合は、管理VLANにのみバインドし、ACLを強制し、デーモンをTCPラッパー(`/etc/hosts.allow`)でラップします。 +3. レガシー`telnetd`実装を`ssl-telnet`または`telnetd-ssl`に置き換えてトランスポート暗号化を追加しますが、**これはデータの移動中のみを保護します—パスワード推測は依然として簡単です**。 +4. ポート23へのアウトバウンドトラフィックを監視します;侵害はしばしばTelnetを介してリバースシェルを生成し、厳格なHTTP出口フィルターを回避します。 + +## 参考文献 + +* D-Link Advisory – CVE-2024-45698 クリティカルなTelnet RCE。 +* NVD – CVE-2022-39028 inetutils `telnetd` DoS。 + +{{#include /banners/hacktricks-training.md}}