VNC目前已被广泛应用的一个远程控制程序,很多***者对VNC的***技术研究热情是高涨的,丝毫不亚于对Windows的远程桌面(3389)、PcAnywhere的***研究。从最开始爆发出来的VNC的低版本密码验证绕过漏洞,到各种版本的VNC密码破解技术的公布,再到针对各种版本VNC的专门的***程序出现,VNC的***也在网络中不断的进行着。下文将重点介绍针对各版本的VNC的***技术,以案例模拟的方式进行详细的操作和原理讲解,同时对不同版本的不同情况会有特别的提示。本文的目的是防微杜渐,做到预防在先,在实现功能的同时一定要注意安全!

首先我们看看VNC运行的工作流程:

(1) VNC客户端通过浏览器或VNC Viewer连接至VNC Server;

(2) VNC Server传送一个对话窗口至客户端,要求输入连接密码(可能为空),以及存取的VNC Server显示装置;

(3) 在客户端输入连接密码后,VNC Server验证客户端是否具有存取权限;

(4) 若是客户端通过VNC Server的验证,客户端即要求VNC Server显示桌面环境;

(5) 被控端将画面显示控制权交由VNC Server负责;

(6) VNC Server将把被控端的桌面环境利用VNC通信协议送至客户端,并且允许客户端控制VNC Server的桌面环境及输入装置。

一、 VNC***工具:vncpwdump

       国内很少没有针对VNC***技术的专门研究团队,大部分的VNC***技术和相关工具都是国外***者推出的,所以如果要深入研究VNC的***技术,在国内比较难找到新的技术资料,如这里将要介绍的Vncpwdump。Vncpwdump是一个很早以前就已经推出的VNC综合性的***和破解工具,但是国内能下载到的基本都是vncpwdump 0.0.1版,也就是最开始公布出来的那个版本,已经古老得基本没有任何作用了。最新的可以针对各版本VNC进行密码破解和***的vncpwdump是1.0.6版,具有非常强悍的各项功能。Vncpwdump是个开源的程序,不但可以下载到它,还可以下载到它的源代码进行修改和增加、删除相关功能,详细的程序执行界面如图1所示。

图1

Vncpwdump的主要功能是获取VNC的密码,它提供多种获取方式,比如:从NTUSER.DAT文件中获取;从命令行输入获取;注入VNC线程获取;注册表中获取等方式。

二、 使用vncpwdump进行***模拟

Vncpwdump的功能很多,从它的使用界面来看,有如下的功能参数:

下面对各参数的具体含义和使用方式做简单演示。

首先是"-c"和"-s"参数,这两个参数的意义是从注册表的"HKEY_CURRENT USER"或"HKEY_LOCAL MACHINE"下读取VNC的密码,因为版本不同的关系,上述两个注册表键值中的其中一个会存在VNC的密码。其中"HKCU "是简写,代表注册表中得"HKEY_CURRENT_USER"位置。当我们打开注册表,找到相应位置得时候密码内容就逐步浮出水面,可以找到里面有一行如下显示:

   
   
   
   
  1. Windows Registry Editor Version 5.00
  2. [HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4]
  3. "Password"=hex:49,40,15,f9,a3,5e,8b,22
  4. "SecurityTypes"="VncAuth"
  5. "ReverseSecurityTypes"="None"
  6. "QueryConnect"=dword:00000000
  7. "QueryOnlyIfLoggedOn"=dword:00000000
  8. "PortNumber"=dword:0000170c
  9. "IdleTimeout"=dword:00000e10
  10. "HTTPPortNumber"=dword:000016a8
  11. "LocalHost"=dword:00000000
  12. "Hosts"="+,"
  13. "AcceptKeyEvents"=dword:00000001
  14. "AcceptPointerEvents"=dword:00000001
  15. "AcceptCutText"=dword:00000001
  16. "SendCutText"=dword:00000001
  17. "DisableLocalInputs"=dword:00000000
  18. "DisconnectClients"=dword:00000001
  19. "AlwaysShared"=dword:00000000
  20. "NeverShared"=dword:00000000
  21. "DisconnectAction"="None"
  22. "RemoveWallpaper"=dword:00000000
  23. "RemovePattern"=dword:00000000
  24. "DisableEffects"=dword:00000000
  25. "UpdateMethod"=dword:00000001
  26. "PollConsoleWindows"=dword:00000001
  27. "UseCaptureBlt"=dword:00000001
  28. "UseHooks"=dword:00000001
  29. "Protocol3.3"=dword:00000000

这password后得值就是加密的密码,虽然我们不能直接读懂他,我们可以使用多种方法来破解,比如VNCX4和我们下面要介绍的vncpwdump均可,如果你是高手那么用windows自带的计算器也能搞定。

以VNC 4为例,使用"-s"参数可以直接得到相关的密码,如图2所示。

图2

可以看到上面设置的密码直接被读出:"123456"。

"-r"参数后的说明是"decrypts password in ",也就是从文件中读出密码,通常情况下,***者会尝试使用"NTUSER.DAT"文件读取密码。"NTUSER.DAT"和"NTUSER.ini"都属于系统的用户配置文件,里面存储了一些用户的相关配置信息,有一些版本的VNC会将密码存储于这个文件之中,不过大家不必担心,一般情况下这个文件无法读出密码。

"-d"参数的说明是"dumps the password by injecting into running process",意思是以注入进程的方式读取密码。在实际的网络中,考虑到服务器的稳定性,一般不适用这个参数进行***。

"-k"参数和"-e"参数是相对应的配套参数,"-k"的作用是在获得系统中存在的加密VNC密码以后解密,"-e"参数的作用是将没有经过VNC加密的密码进行加密。

先看看"-e"是什么效果。

从上图中可以看到,使用命令后得到加密后的KEY是"494015F9A35E8B22",实际上,这个key如果是VNC的链接密码的话,VNC会将这个密码存放在注册表中的一个固定的地方,每当用户连接的时候都会验证,如果管理员修改密码,这个值也跟着改变。再看看使用"-k"参数进行解密的命令:

可以看到密码"123456"已经被破解出来。

"-s"和"-c"参数也是成对使用的,功能类似。"-s"参数用于直接修改VNCserver的链接密码,"-c"参数用户修改当前用户的密码。

举例来说,如果使用"-s"参数将vnc的链接密码改成"123",则使用如下命令

这里需要注意的是,vncpwdump的各个参数都是区分大小写的,大小写不同作用也不同,大家在实际使用过程中一定要注意区分。在实际的网络***中,当***者无法获得VNC密码时候,就可以使用"-s"参数来强制改变VNC密码,但这样做也会被管理员发现。

三、针对VNC的扫描

在这里我们使用的是vncscan工具。运行截图如下:

从上图可知,这个程序主要包含3个部分,分别是"target"、"scantype"、"option",其中"target"用于定义扫描的IP地址范围,"scantype"确定扫描的方式,"option"是附带的其他参数。

举例来说,要批量扫描内部网络中安装了VNC的计算机,确定IP地址段为192.168.0.1-192.168.0.254,VNC默认端口是5900,这样需要构造的命令如下:

其中有6个输出参数,分别如下:

"FOUND" :表示得到的结果数据;

"PORT":扫描的端口数;

"IP": 扫描的IP数;

"STATUS": 完成进度

"THREADS": 线程;

"TOTAL/REMAINING":用时;

从结果中我们看出192.168.0.243开放了5900端口。在实际的***过程中,***者往往都会利用自己控制的肉鸡进行大范围的扫描,如果只通过在CMD下运行并查看结果,这样比较繁琐,所以这个扫描程序会在程序目录生成一个TXT文件,里面有扫描结果的记录。例如:

上图中实际IP地址已处理,VNC_bypauth.txt文件会记录开放5900端口的IP地址及VNC状态。其中只有"VULNERABLE"是存在直接可以利用的漏洞,可以被***者利用的,而"patched,banned"这两种状态没有用。

这样一个典型的VNC的漏洞***模拟就完成了。