WIN2K的Telnet服务 Hacking(2)

　　5、服务器把用户名、给客户端的challenge 、客户端返回的 response 这三个东西，发送域控制器

　　6、域控制器用这个用户名在 SAM密码管理库中找到这个用户的密码散列，然后使用这个密码散列来加密 challenge。

　　7、域控制器比较两次加密的 challenge ，如果一样，那么认证成功。

　　根据NTLM认证过程，我们能够得到一个比较简单的方法来使用微软自己的Telnet 服务。但是它并不是默认运行的，所以首先需要远程把它启动起来（使用AT啊）。然后根据NTLM身份认证的特点，把本地的帐号和密码修改成服务器上的帐号和密码，然后重新启动，用修改的帐号和密码登录，然后再连接服务器的Telnet。这样经过NTLM认证，就能够成功了。不过这个方法，虽然简单，但是显得太笨了，还要修改密码重新启动。

　　要得到更自由和方便的办法，我们需要熟悉 Telnet 服务器的配置情况。

　　在注册表中的这个位置是关于Telnet Server的相关配置

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0

　　比如下面这些项值：

　　键LoginScript：显示 Telnet 服务器登录脚本的路径位置。默认的位置就是“%systemroot%\System32\login.cmd”，当然，可以把脚本内容改写了，这样登录进Telnet的欢迎屏幕就不一样，键AllowTrustedDomain：是否允许域用户访问，默认值是1，允许信任域用户访问。可以修改为下面这些值：

　　0: 不允许域用户访问（只允许本地用户）。

　　1: 允许域用户从具有信任关系的域访问。

　　键DefaultDomain：可以对与该计算机具有信任关系的任何域设置。如果 AllowTrustedDomain 设为 1，并且要本地域为默认域，请将值设为“.”。默认就是"."

　　键DefaultShell：shell 的路径位置。默认是： %systemroot%\System32\Cmd.exe /q /k ，修改吧，可以玩人。

　　键MaxFailedLogins：在连接终止之前显示尝试登录失败的最大次数。默认是3。

　　键NTLM：NTLM身份验证选项。默认是2。可以有下面这些值：