16-08-2014, 15:13
(Var lidt i tvivl om hvor den skulle placeres. Synes ikke helt brute-force var den rigtige sektion)
Sad og nød min morgenkaffe sammen med dagens diverse nyheder, da jeg faldt over denne artikel fra Sophos' NakedSecurity blog:
( https://nakedsecurity.sophos.com/2014/08...hijacking/ )
Det går i bund og grund ud på at skanne ip-rækker for VNC, og så teste om disse er usikre opsat og ikke benytter kodeord til fjernforbindelsen.
Havde ikke selv tænkt på at dette var et problem der var så omfattende igen. Sidder ofte og skanner store rækker af IP'er igennem, og port 5900(standart VNC port) er alt efter mine intentioner en port jeg tit tilføjer til listen (Sammen med porten til den specifikke service jeg prøver at skaffe adgang til).
Tænkte det ville være en god idé lige at afprøve deres fund selv, for at få et større indblik i, om dette nu også er et problem herhjemme i Danmark.
Idéen var egentligt at skrive et lille hurtigt script til Nmap ved hjælp af NSE(Nmap Scripting Engine) og dettes tilhørende VNC library. Men før jeg nåede at lave mere end Head og Rule sektionerne (NSE består af Head, Rule og en Action sektion), faldt jeg over dette handy script:
( https://svn.nmap.org/nmap/scripts/vnc-brute.nse )
Hvad dette script gør, er at forbinde til en VNC service under skanningen, teste om forbindelsen kræver brugernavn OG kodeord eller KUN et kodeord. Hvis det eneste krav er et kodeord, forsøger scriptet at brute-force dette med de sædvanlige svage loginoplysninger vi stadig ser blive brugt.
Af 'svage loginoplysninger' må siges at Intet Kodeord helt klart topper listen, og dette er der også taget hensyn for i vnc-brute.
Jeg har endnu ikke været så heldig at brute-force et eksiterende kodeord, men tilgengældt har jeg fundet Massere af klienter der ikke har anvendt kodeord.
Hvis det er noget i kunne tænke jer at give et forsøg, er det egentlig en UTROLIG let process. Selv for dem som måske ikke har brugt Nmap før.
Her er en lille 'overflødig' gennemgang til jer der ikke har leget med det før:
Når Nmap finder en VNC service der ikke bruger kodeord, får vi fælgende output:
Hvis der bare står følgende (Uden VNC-Brute output):
4) Nu kan vi så bruge RealVNC til at forbinde til IP-adressen:
https://www.realvnc.com/download/
Download VNC Viewer. Det virker til alle de store styresytemer, og der er ingen grund til at hente den fulde pakke, da vi ikke har tænkt os at køre en server.
Her ville det være smart - FØR - du trykker på connect, at gå ind i 'OPTIONS' og trykke på den checkbox under 'Input' der hedder 'View-only'. Dette gør er vores tastatur og mus ikke forstyrre brugeren, og derved afslører vores tilstedeværelse.
[align=center]Har MANGE flere hvor de kommer fra. Men tror det er betydeligt sjovere hvis i selv giver det et forsøg
Sad og nød min morgenkaffe sammen med dagens diverse nyheder, da jeg faldt over denne artikel fra Sophos' NakedSecurity blog:
( https://nakedsecurity.sophos.com/2014/08...hijacking/ )
Det går i bund og grund ud på at skanne ip-rækker for VNC, og så teste om disse er usikre opsat og ikke benytter kodeord til fjernforbindelsen.
Havde ikke selv tænkt på at dette var et problem der var så omfattende igen. Sidder ofte og skanner store rækker af IP'er igennem, og port 5900(standart VNC port) er alt efter mine intentioner en port jeg tit tilføjer til listen (Sammen med porten til den specifikke service jeg prøver at skaffe adgang til).
Tænkte det ville være en god idé lige at afprøve deres fund selv, for at få et større indblik i, om dette nu også er et problem herhjemme i Danmark.
Idéen var egentligt at skrive et lille hurtigt script til Nmap ved hjælp af NSE(Nmap Scripting Engine) og dettes tilhørende VNC library. Men før jeg nåede at lave mere end Head og Rule sektionerne (NSE består af Head, Rule og en Action sektion), faldt jeg over dette handy script:
( https://svn.nmap.org/nmap/scripts/vnc-brute.nse )
Hvad dette script gør, er at forbinde til en VNC service under skanningen, teste om forbindelsen kræver brugernavn OG kodeord eller KUN et kodeord. Hvis det eneste krav er et kodeord, forsøger scriptet at brute-force dette med de sædvanlige svage loginoplysninger vi stadig ser blive brugt.
Af 'svage loginoplysninger' må siges at Intet Kodeord helt klart topper listen, og dette er der også taget hensyn for i vnc-brute.
Jeg har endnu ikke været så heldig at brute-force et eksiterende kodeord, men tilgengældt har jeg fundet Massere af klienter der ikke har anvendt kodeord.
Hvis det er noget i kunne tænke jer at give et forsøg, er det egentlig en UTROLIG let process. Selv for dem som måske ikke har brugt Nmap før.
Her er en lille 'overflødig' gennemgang til jer der ikke har leget med det før:
1) Download og installér Nmap - eller Zenmap (GUI version med grafisk brugerflade)
http://nmap.org/zenmap/
Har man Kali/Backtrack eller et andet sikkerheds-orienteret styresystem, burde Nmap selvfølgelig allerede være installeret.
2) Du skal efterhånden køre en Gammel version af Nmap for at dette script ikke er pakket sammen med programmet, men hvis du gør, så OPDATER for pokker. Hvis dette ikke er en mulighed, så kan scriptet downloades på nedenstående link:
https://svn.nmap.org/nmap/scripts/vnc-brute.nse
3) Nu kører vi Nmap eller Zenmap med følgende parametre (Om det er Nmap eller Zenmap er fuldstændig lige meget. Zenmap er KUN en integreret grafisk brugerflade til Nmap, og alle kommandoer og valgmuligheder er de samme:
http://nmap.org/zenmap/
Har man Kali/Backtrack eller et andet sikkerheds-orienteret styresystem, burde Nmap selvfølgelig allerede være installeret.
2) Du skal efterhånden køre en Gammel version af Nmap for at dette script ikke er pakket sammen med programmet, men hvis du gør, så OPDATER for pokker. Hvis dette ikke er en mulighed, så kan scriptet downloades på nedenstående link:
https://svn.nmap.org/nmap/scripts/vnc-brute.nse
3) Nu kører vi Nmap eller Zenmap med følgende parametre (Om det er Nmap eller Zenmap er fuldstændig lige meget. Zenmap er KUN en integreret grafisk brugerflade til Nmap, og alle kommandoer og valgmuligheder er de samme:
Citer:nmap -p 5900 --open --script vnc-brute 127.0.0.1
Citer:nmap: Giver sig selv. Det er det program vi kører - resten er parametre.
-p 5900: Dette er porten vi vil skanne efter. (Her kan vi også skanne efter flere porte på éen gang - f. eks. -p 21,22,23,80,443,500-700 - sidstnævnte skanner alle porte i rækken 500 - 700. Et godt eksempel her kunne være at skanne efter en kendt port til et stykke Point-of-Sale software og samtidig se om maskinen det kører på tillader fjernstyrring.
--open: Begrænser vores skanningen til KUN at vise resultater med åbne porte. Uden dette vil vi få en væg af tekst med lukkede og firewalled porte.
--script vnc-brute: Her vælger vi det script der skal testes på alle online maskiner med port 5900 åben. (Hvis scriptet ikke er pakket med Nmap kan du bruge '--script "C:\\StienTilFilen\\vnc-brute.nse"'.
127.0.0.1: IP-adressen eller rækken der skal skannes efter. Hvis du vil skanne en række frem for en enkelt IP kan følgende bruges:
47.148.151.1-255 - Skanner 47.148.151.1 til 47.148.151.255
47.148.151-160.1-255 - Skanner 47.148.151.1 til 47.148.160.255
Når Nmap finder en VNC service der ikke bruger kodeord, får vi fælgende output:
Citer:5900/tcp open vnc
|_vnc-brute: No authentication required
Hvis der bare står følgende (Uden VNC-Brute output):
Citer:Betyder det et brugernavn også er krævet.5900/tcp open vnc
4) Nu kan vi så bruge RealVNC til at forbinde til IP-adressen:
https://www.realvnc.com/download/
Download VNC Viewer. Det virker til alle de store styresytemer, og der er ingen grund til at hente den fulde pakke, da vi ikke har tænkt os at køre en server.
Her ville det være smart - FØR - du trykker på connect, at gå ind i 'OPTIONS' og trykke på den checkbox under 'Input' der hedder 'View-only'. Dette gør er vores tastatur og mus ikke forstyrre brugeren, og derved afslører vores tilstedeværelse.
Her er der lige et par eksempler på, hvad man kan være heldig at få adgang til:
Vi er ikke bare navnebrødre, hans skrivebord minder uhyggeligt meget om mit!
Her kunne man jo være fræk, og skrive sin egen besked. Måske enda lave lidt grafik der passer til. Har fundet flere af disse oplysningstavler - selv i en lufthavn - hvilket i værste fald kan medføre videre adgang til det interne system.
Vi er ikke bare navnebrødre, hans skrivebord minder uhyggeligt meget om mit!
Her kunne man jo være fræk, og skrive sin egen besked. Måske enda lave lidt grafik der passer til. Har fundet flere af disse oplysningstavler - selv i en lufthavn - hvilket i værste fald kan medføre videre adgang til det interne system.
[align=center]Har MANGE flere hvor de kommer fra. Men tror det er betydeligt sjovere hvis i selv giver det et forsøg