VNC实战演练 揭秘黑客如何获取远程密码

　　首先我们看看VNC运行的工作流程：

　　(1) VNC客户端通过浏览器或VNC　Viewer连接至VNC Server；
　　(2) VNC Server传送一个对话窗口至客户端，要求输入连接密码（可能为空），以及存取的VNC Server显示装置；
　　(3) 在客户端输入连接密码后，VNC Server验证客户端是否具有存取权限；
　　(4) 若是客户端通过VNC Server的验证，客户端即要求VNC Server显示桌面环境；
　　(5) 被控端将画面显示控制权交由VNC Server负责；
　　(6) VNC Server将把被控端的桌面环境利用ＶＮＣ通信协议送至客户端，并且允许客户端控制VNC Server的桌面环境及输入装置。

　　一、 VNC攻击工具：vncpwdump

　　国内很少有针对VNC攻击技术的专门研究团队，大部分的VNC攻击技术和相关工具都是国外攻击者推出的，所以如果要深入研究VNC的攻防技术，在国内比较难找到新的技术资料，如这里将要介绍的Vncpwdump。Vncpwdump是一个很早以前就已经推出的VNC综合性的攻击和破解工具，但是国内能下载到的基本都是vncpwdump 0.0.1版，也就是最开始公布出来的那个版本，已经古老得基本没有任何作用了。

    最新的可以针对各版本VNC进行密码破解和攻击的vncpwdump是1.0.6版，具有非常强悍的各项功能。Vncpwdump是个开源的程序，不但可以下载到它，还可以下载到它的源代码进行修改和增加、删除相关功能，详细的程序执行界面如图1所示。

　　Vncpwdump的主要功能是获取VNC的密码，它提供多种获取方式，比如：从NTUSER．DAT文件中获取；从命令行输入获取；注入VNC线程获取；注册表中获取等方式。

针对ＶＮＣ的扫描

　　在这里我们使用的是vncscan工具。这个程序主要包含３个部分，分别是"target"、"scantype"、"option"，其中"target"用于定义扫描的IP地址范围，"scantype"确定扫描的方式，"option"是附带的其他参数。

　　举例来说，要批量扫描内部网络中安装了VNC的计算机，确定IP地址段为192.168.0.1-192.168.0.254，VNC默认端口是5900，这样需要构造的命令如下：

　　其中有6个输出参数，分别如下：

　　"FOUND"　：表示得到的结果数据；
　　"PORT"：扫描的端口数；
　　"IP"：　扫描的ＩＰ数；
　　"STATUS"： 完成进度
　　"THREADS"： 线程；
　　"TOTAL/REMAINING"：用时；

　　从结果中我们看出192.168.0.243开放了5900端口。在实际的攻击过程中，攻击者往往都会利用自己控制的肉鸡进行大范围的扫描，如果只通过在CMD下运行并查看结果，这样比较繁琐，所以这个扫描程序会在程序目录生成一个TXT文件，里面有扫描结果的记录。例如：

　　实际IP地址已处理，VNC_bypauth.txt文件会记录开放5900端口的IP地址及VNC状态。其中只有"VULNERABLE"是存在直接可以利用的漏洞，可以被攻击者利用的，而"patched，banned"这两种状态没有用。

　　这样一个典型的VNC的漏洞攻击模拟就完成了。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友