Tel
et高级入侵
1．什么是Tel
et对于Tel
et的认识，不同的人持有不同的观点，可以把Tel
et当成一种通信协议，但是对于入侵者而言，Tel
et只是一种远程登录的工具。一旦入侵者与远程主机建立了Tel
et连接，入侵者便可以使用目标主机上的软、硬件资源，而入侵者的本地机只相当于一个只有键盘和显示器的终端而已。2．Tel
et被入侵者用来做什么（1）Tel
et是控制主机的第一手段如果入侵者想要在远程主机上执行命令，需要建立IPC连接，然后使用
ettime命令查看系统时间，最后使用at命令建立计划任务才能完成远程执行命令。虽然这种方法能够远程执行命令，但相比之下，Tel
et方式对入侵者而言则会方便得多。入侵者一旦与远程主机建立Tel
et连接，就可以像控制本地计算机一样来控制远程计算机。可见，Tel
et方式是入侵者惯于使用的远程控制方式，当他们千方百计得到远程主机的管理员权限后，一般都会使用Tel
et方式进行登录。（2）用来做跳板入侵者把用来隐身的肉鸡称之为“跳板”，他们经常用这种方法，从一个“肉鸡”登录到另一个“肉鸡”，这样在入侵过程中就不会暴露自己的IP地址。3．关于NTLM验证由于Tel
et功能太强大，而且也是入侵者使用最频繁的登录手段之一，因此微软公司为Tel
et添加了身份验证，称为NTLM验证，它要求Tel
et终端除了需要有Tel
et服务主机的用户名和密码外，还需要满足NTLM验证关系。NTLM验证大大增强了Tel
et主机的安全性，就像一只拦路虎把很多入侵者拒之门外。4．使用Tel
et登录登录命令：tel
etHOSTPORT断开Tel
et连接的命令：exit成功地建立Tel
et连接，除了要求掌握远程计算机上的账号和密码外，还需要远程计算机已经开启“Tel
et服务”，并去除NTLM验证。也可以使用专门的Tel
et工具来进行连接，比如STERM，CTERM等工具。232Tel
et典型入侵1．Tel
et典型入侵步骤步骤一：建立IPC连接。其中sysback是前面建立的后门账号，命令如图所示。
f步骤二：开启远程主机中被禁用的Tel
et服务，如图所示。步骤三：断开IPC连接，如图所示。
步骤四：去掉NTLM验证。如果没有去除远程计算机上的NTLM验证，在登录远程计算机的时候就会失败，如图所示。不过入侵者会使用各种方法使NTLM验证形同虚设。解除NTLM的方法有很多，下面列出一些常用的方法，来看看入侵者如何去除NTLM验证
（1）方法一首先，在本地计算机上建立一个与远程主机上相同的账号和密码，如图所示。
f然后，通过“开始”→“程序”→“附件”找到“命令提示符”，使用鼠标右键单r