23 - Pentesting Telnet

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks

Informação Básica

Telnet é um protocolo de rede que oferece aos usuários uma forma insegura de acessar um computador através de uma rede.

Porta padrão: 23

23/tcp open  telnet

Enumeration

nc -vn <IP> 23

Toda a enumeration interessante pode ser realizada com nmap:

nmap -n -sV -Pn --script "*telnet* and safe" -p 23 <IP>

O script telnet-ntlm-info.nse obterá informações NTLM (versões do Windows).

From the telnet RFC: No protocolo TELNET existem várias “opções” que serão sancionadas e podem ser usadas com a estrutura “DO, DON’T, WILL, WON’T” para permitir que cliente e servidor concordem em usar um conjunto mais elaborado (ou talvez apenas diferente) de convenções para sua conexão TELNET. Essas opções podem incluir alterar o conjunto de caracteres, o modo de echo, etc.

Sei que é possível enumerar essas opções, mas não sei como; me avise se souber como.

Enumerar Opções / Recursos do Telnet

Telnet usa negociações IAC + DO/DONT/WILL/WONT para habilitar opções. Você pode observar as opções suportadas capturando a negociação inicial e sondando por funcionalidades específicas.

Sondas de opções/funcionalidades do Nmap

# Detect support for the Telnet ENCRYPT option
nmap -p 23 --script telnet-encryption <IP>

# Enumerate Microsoft Telnet NTLM info (NetBIOS/DNS/OS build)
nmap -p 23 --script telnet-ntlm-info <IP>

# Brute-force via NSE (alternative to Hydra/Medusa)
nmap -p 23 --script telnet-brute --script-args userdb=users.txt,passdb=pass.txt <IP>

The telnet-encryption script verifica se a opção ENCRYPT é suportada; algumas implementações historicamente trataram essa opção incorretamente e eram vulneráveis, mas o script apenas verifica o suporte. telnet-ntlm-info divulga metadados NTLM (NetBIOS/DNS/OS build) quando Microsoft Telnet NTLM está habilitado. telnet-brute é um auditor NSE de força bruta para Telnet.

Brute force

Arquivo de configuração

/etc/inetd.conf
/etc/xinetd.d/telnet
/etc/xinetd.d/stelnet

HackTricks Comandos Automáticos

Protocol_Name: Telnet    #Protocol Abbreviation if there is one.
Port_Number:  23     #Comma separated if there is more than one.
Protocol_Description: Telnet          #Protocol Abbreviation Spelled out

Entry_1:
Name: Notes
Description: Notes for t=Telnet
Note: |
wireshark to hear creds being passed
tcp.port == 23 and ip.addr != myip

https://book.hacktricks.wiki/en/network-services-pentesting/pentesting-telnet.html

Entry_2:
Name: Banner Grab
Description: Grab Telnet Banner
Command: nc -vn {IP} 23

Entry_3:
Name: Nmap with scripts
Description: Run nmap scripts for telnet
Command: nmap -n -sV -Pn --script "*telnet*" -p 23 {IP}

Entry_4:
Name: consoleless mfs enumeration
Description: Telnet enumeration without the need to run msfconsole
Note: sourced from https://github.com/carlospolop/legion
Command: msfconsole -q -x 'use auxiliary/scanner/telnet/telnet_version; set RHOSTS {IP}; set RPORT 23; run; exit' && msfconsole -q -x 'use auxiliary/scanner/telnet/brocade_enable_login; set RHOSTS {IP}; set RPORT 23; run; exit' && msfconsole -q -x 'use auxiliary/scanner/telnet/telnet_encrypt_overflow; set RHOSTS {IP}; set RPORT 23; run; exit' && msfconsole -q -x 'use auxiliary/scanner/telnet/telnet_ruggedcom; set RHOSTS {IP}; set RPORT 23; run; exit'

Vulnerabilidades Recentes (2022-2026)

  • CVE-2024-45698 – D-Link Wi-Fi 6 routers (DIR-X4860): Validação de entrada inadequada no serviço telnet permite que atacantes remotos façam login usando credenciais hard-coded e injetem comandos do OS; corrigido no firmware 1.04B05 ou posterior.
  • CVE-2023-40478 – NETGEAR RAX30: Buffer overflow baseado em stack no Telnet CLI passwd permite execução de código a partir de rede adjacente como root; autenticação é necessária, mas pode ser contornada.
  • CVE-2022-39028 – GNU inetutils telnetd: Uma sequência de dois bytes (0xff 0xf7 / 0xff 0xf8) pode disparar uma desreferência NULL-pointer em telnetd, e crashes repetidos podem levar o inetd a desativar o serviço (DoS).

Mantenha estes CVEs em mente durante a triagem de vulnerabilidades — se o alvo estiver executando firmware sem patch ou um daemon Telnet inetutils legado, você pode ter um caminho direto para execução de código ou um DoS disruptivo.

CVE-2026-24061 — GNU Inetutils telnetd auth bypass (Crítico)

Summary: telnetd do GNU Inetutils até 2.7 permite remote authentication bypass via o valor da variável de ambiente USER igual a -f root, resultando em acesso root não autenticado.
Root cause: argument injection (CWE-88) porque telnetd encaminha a variável de ambiente USER fornecida pelo cliente para login sem sanitização.
Scope: GNU Inetutils telnetd versões 1.9.3–2.7 são afetadas (publicado em 21 de janeiro de 2026).

Mitigations

  • Patch/upgrade pacotes afetados imediatamente (por exemplo, correções do Debian estão em 2:2.4-2+deb12u2, 2:2.6-3+deb13u1, e 2:2.7-2).
  • Disable Telnet ou restrinja o acesso a redes de gerenciamento confiáveis enquanto aplica os patches.

Sniffing Credentials & Man-in-the-Middle

Telnet transmite tudo, incluindo credenciais, em clear-text. Duas formas rápidas de capturá-las:

# Live capture with tcpdump (print ASCII)
sudo tcpdump -i eth0 -A 'tcp port 23 and not src host $(hostname -I | cut -d" " -f1)'

# Wireshark display filter
tcp.port == 23 && (telnet.data || telnet.option)

Para um MITM ativo, combine ARP spoofing (por exemplo arpspoof/ettercap) com os mesmos filtros de sniffing para coletar senhas em redes comutadas.

Automated Brute-force / Password Spraying

# Hydra (stop at first valid login)
hydra -L users.txt -P rockyou.txt -t 4 -f telnet://<IP>

# Ncrack (drop to interactive session on success)
ncrack -p 23 --user admin -P common-pass.txt --connection-limit 4 <IP>

# Medusa (parallel hosts)
medusa -M telnet -h targets.txt -U users.txt -P passwords.txt -t 6 -f

A maioria dos botnets IoT (variantes Mirai) ainda escaneia a porta 23 com pequenos dicionários de credenciais padrão — espelhar essa lógica pode identificar rapidamente dispositivos fracos.

Exploração e Pós-Exploração

O Metasploit possui vários módulos úteis:

  • auxiliary/scanner/telnet/telnet_version – banner & option enumeration.
  • auxiliary/scanner/telnet/brute_telnet – multithreaded bruteforce.
  • auxiliary/scanner/telnet/telnet_encrypt_overflow – RCE against vulnerable Solaris 9/10 Telnet (option ENCRYPT handling).
  • exploit/linux/mips/netgear_telnetenable – enables telnet service with a crafted packet on many NETGEAR routers.

Após obter um shell, lembre-se que TTYs geralmente são limitados; faça upgrade com python -c 'import pty;pty.spawn("/bin/bash")' ou use o HackTricks TTY tricks.

Endurecimento e Detecção (Blue team corner)

  1. Prefira SSH e desative o serviço Telnet completamente.
  2. Se o Telnet for necessário, vincule-o apenas às management VLANs, aplique ACLs e envolva o daemon com TCP wrappers (/etc/hosts.allow).
  3. Substitua implementações legadas de telnetd por ssl-telnet ou telnetd-ssl para adicionar criptografia de transporte, mas isso protege apenas os dados em trânsito — password-guessing continua trivial.
  4. Monitore tráfego de saída para a porta 23; compromissos frequentemente geram reverse shells sobre Telnet para contornar filtros de egress HTTP rigorosos.

Referências

  • D-Link Advisory – CVE-2024-45698 Critical Telnet RCE.
  • NVD – CVE-2022-39028 inetutils telnetd DoS.
  • NVD – CVE-2026-24061.
  • Canadian Centre for Cyber Security Alert AL26-002 (CVE-2026-24061).
  • Debian Security Tracker – CVE-2026-24061 fixed versions.

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks