VNC Server模拟攻击实战

VNC目前已被广泛应用的一个远程控制程序，很多攻击者对VNC的攻击技术研究热情是高涨的，丝毫不亚于对Windows的远程桌面(3389)、PcAnywhere的攻击研究。从最开始爆发出来的VNC的低版本密码验证绕过漏洞，到各种版本的VNC密码破解技术的公布，再到针对各种版本VNC的专门的攻击程序出现，VNC的攻击也在网络中不断的进行着。下文将重点介绍针对各版本的VNC的攻击技术，以案例模拟的方式进行详细的操作和原理讲解，同时对不同版本的不同情况会有特别的提示。本文的目的是防微杜渐，做到预防在先，在实现功能的同时一定要注意安全！

首先我们看看VNC运行的工作流程：

(1) VNC客户端通过浏览器或VNC　Viewer连接至VNC Server；

(2) VNC Server传送一个对话窗口至客户端，要求输入连接密码（可能为空），以及存取的VNC Server显示装置；

(3) 在客户端输入连接密码后，VNC Server验证客户端是否具有存取权限;

(4) 若是客户端通过VNC Server的验证，客户端即要求VNC Server显示桌面环境；

(5) 被控端将画面显示控制权交由VNC Server负责；

(6) VNC Server将把被控端的桌面环境利用ＶＮＣ通信协议送至客户端，并且允许客户端控制VNC Server的桌面环境及输入装置。

一、 VNC攻击工具：vncpwdump

国内很少没有针对VNC攻击技术的专门研究团队，大部分的VNC攻击技术和相关工具都是国外攻击者推出的，所以如果要深入研究VNC的攻防技术，在国内比较难找到新的技术资料，如这里将要介绍的Vncpwdump。Vncpwdump是一个很早以前就已经推出的VNC综合性的攻击和破解工具，但是国内能下载到的基本都是vncpwdump 0.0.1版，也就是最开始公布出来的那个版本，已经古老得基本没有任何作用了。最新的可以针对各版本VNC进行密码破解和攻击的vncpwdump是1.0.6版，具有非常强悍的各项功能。Vncpwdump是个开源的程序，不但可以下载到它，还可以下载到它的源代码进行修改和增加、删除相关功能，详细的程序执行界面如图1所示。

650) this.width=650;" class="fit-image" border="0" alt="图1" width="498" height="421" src="http://images.51cto.com/files/uploadimg/20110705/1110510.jpg" />

图1

Vncpwdump的主要功能是获取VNC的密码，它提供多种获取方式，比如：从NTUSER．DAT文件中获取；从命令行输入获取；注入VNC线程获取；注册表中获取等方式。

二、 使用vncpwdump进行攻击模拟

Vncpwdump的功能很多，从它的使用界面来看，有如下的功能参数：

下面对各参数的具体含义和使用方式做简单演示。

首先是"-c"和"-s"参数，这两个参数的意义是从注册表的"HKEY_CURRENT USER"或"HKEY_LOCAL MACHINE"下读取VNC的密码，因为版本不同的关系，上述两个注册表键值中的其中一个会存在VNC的密码。其中"HKCU "是简写，代表注册表中得"HKEY_CURRENT_USER"位置。当我们打开注册表，找到相应位置得时候密码内容就逐步浮出水面，可以找到里面有一行如下显示：

650) this.width=650;" class="fit-image" border="0" alt="" src="http://images.51cto.com/files/uploadimg/20110705/1110511.jpg" width="498" height="318" />

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4]
"Password"=hex:49,40,15,f9,a3,5e,8b,22
"SecurityTypes"="VncAuth"
"ReverseSecurityTypes"="None"
"QueryConnect"=dword:00000000
"QueryOnlyIfLoggedOn"=dword:00000000
"PortNumber"=dword:0000170c
"IdleTimeout"=dword:00000e10
"HTTPPortNumber"=dword:000016a8
"LocalHost"=dword:00000000
"Hosts"="+,"
"AcceptKeyEvents"=dword:00000001
"AcceptPointerEvents"=dword:00000001
"AcceptCutText"=dword:00000001
"SendCutText"=dword:00000001
"DisableLocalInputs"=dword:00000000
"DisconnectClients"=dword:00000001
"AlwaysShared"=dword:00000000
"NeverShared"=dword:00000000
"DisconnectAction"="None"
"RemoveWallpaper"=dword:00000000
"RemovePattern"=dword:00000000
"DisableEffects"=dword:00000000
"UpdateMethod"=dword:00000001
"PollConsoleWindows"=dword:00000001
"UseCaptureBlt"=dword:00000001
"UseHooks"=dword:00000001
"Protocol3.3"=dword:00000000

这password后得值就是加密的密码，虽然我们不能直接读懂他，我们可以使用多种方法来破解，比如VNCX4和我们下面要介绍的vncpwdump均可，如果你是高手那么用windows自带的计算器也能搞定。

以VNC 4为例，使用"-s"参数可以直接得到相关的密码，如图2所示。

650) this.width=650;" class="fit-image" border="0" alt="图2" src="http://images.51cto.com/files/uploadimg/20110705/1110512.jpg" width="498" height="89" />

图2

可以看到上面设置的密码直接被读出："123456"。

"-r"参数后的说明是"decrypts password in <file>"，也就是从文件中读出密码，通常情况下，攻击者会尝试使用"NTUSER.DAT"文件读取密码。"NTUSER.DAT"和"NTUSER.ini"都属于系统的用户配置文件，里面存储了一些用户的相关配置信息，有一些版本的VNC会将密码存储于这个文件之中，不过大家不必担心，一般情况下这个文件无法读出密码。

"-d"参数的说明是"dumps the password by injecting into running process"，意思是以注入进程的方式读取密码。在实际的网络中，考虑到服务器的稳定性，一般不适用这个参数进行攻击。

"-k"参数和"-e"参数是相对应的配套参数，"-k"的作用是在获得系统中存在的加密VNC密码以后解密，"-e"参数的作用是将没有经过VNC加密的密码进行加密。

先看看"-e"是什么效果。

650) this.width=650;" class="fit-image" border="0" alt="" src="http://images.51cto.com/files/uploadimg/20110705/1110513.jpg" width="498" height="96" />

从上图中可以看到，使用命令后得到加密后的KEY是"494015F9A35E8B22"，实际上，这个key如果是VNC的链接密码的话，VNC会将这个密码存放在注册表中的一个固定的地方，每当用户连接的时候都会验证，如果管理员修改密码，这个值也跟着改变。再看看使用"-k"参数进行解密的命令：

650) this.width=650;" class="fit-image" border="0" alt="" src="http://images.51cto.com/files/uploadimg/20110705/1110514.jpg" width="498" height="84" />

可以看到密码"123456"已经被破解出来。

"-s"和"-c"参数也是成对使用的，功能类似。"-s"参数用于直接修改VNCserver的链接密码，"-c"参数用户修改当前用户的密码。

举例来说，如果使用"-s"参数将vnc的链接密码改成"123"，则使用如下命令

650) this.width=650;" class="fit-image" border="0" alt="" src="http://images.51cto.com/files/uploadimg/20110705/1110515.jpg" width="498" height="108" />

这里需要注意的是，vncpwdump的各个参数都是区分大小写的，大小写不同作用也不同，大家在实际使用过程中一定要注意区分。在实际的网络攻击中，当攻击者无法获得VNC密码时候，就可以使用"-s"参数来强制改变VNC密码，但这样做也会被管理员发现。

三、针对ＶＮＣ的扫描

在这里我们使用的是vncscan工具。运行截图如下：

650) this.width=650;" class="fit-image" border="0" alt="" src="http://images.51cto.com/files/uploadimg/20110705/1110516.jpg" width="498" height="290" />

从上图可知，这个程序主要包含３个部分，分别是"target"、"scantype"、"option",其中"target"用于定义扫描的IP地址范围，"scantype"确定扫描的方式，"option"是附带的其他参数。

举例来说，要批量扫描内部网络中安装了VNC的计算机，确定IP地址段为192.168.0.1-192.168.0.254,VNC默认端口是5900,这样需要构造的命令如下：

650) this.width=650;" class="fit-image" border="0" alt="" src="http://images.51cto.com/files/uploadimg/20110705/1110517.jpg" width="498" height="164" />

其中有6个输出参数，分别如下：

"FOUND"　：表示得到的结果数据；

"PORT"：扫描的端口数；

"IP"：　扫描的ＩＰ数；

"STATUS"： 完成进度

"THREADS"： 线程；

"TOTAL/REMAINING"：用时;

从结果中我们看出192.168.0.243开放了5900端口。在实际的攻击过程中，攻击者往往都会利用自己控制的肉鸡进行大范围的扫描，如果只通过在CMD下运行并查看结果，这样比较繁琐，所以这个扫描程序会在程序目录生成一个TXT文件，里面有扫描结果的记录。例如：

650) this.width=650;" class="fit-image" border="0" alt="" src="http://images.51cto.com/files/uploadimg/20110705/1110518.jpg" width="498" height="508" />

上图中实际IP地址已处理，VNC_bypauth.txt文件会记录开放5900端口的IP地址及VNC状态。其中只有"VULNERABLE"是存在直接可以利用的漏洞，可以被攻击者利用的，而"patched,banned"这两种状态没有用。

这样一个典型的VNC的漏洞攻击模拟就完成了。

本文出自 “李晨光原创技术博客” 博客，谢绝转载！