未授权访问:VNC未授权访问

于 2024-05-13 08:00:00 发布
阅读量607 收藏 4
点赞数 9
分类专栏: 未授权访问 安全 文章标签: 安全 web安全 VNC 未授权访问
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_68163788/article/details/138445247
版权

目录

1、漏洞原理

2、环境搭建

3、未授权访问

防御手段

今天继续学习各种未授权访问的知识和相关的实操实验,一共有好多篇,内容主要是参考先知社区的一位大佬的关于未授权访问的好文章,还有其他大佬总结好的文章:

这里附上大佬的好文章链接:常见未授权访问漏洞总结 - 先知社区

我在这只是学习大佬总结好的相关的知识和实操实验,那么废话不多说,开整。

第六篇是关于VNC的未授权访问

1、漏洞原理

VNC 是虚拟网络控制台Virtual Network Console的英文缩写。

它是一款优秀的远程控制工具软件由美国电话电报公司AT&T的欧洲研究实验室开发。VNC是基于 UNXI 和 Linux 的免费开源软件由 VNC Server 和 VNC Viewer 两部分组成。

VNC 默认端口号为 5900、5901。

VNC 未授权访问漏洞如被利用可能造成恶意用户直接控制target主机。

2、环境搭建

首先就是要下载VNC了,下载地址:https://archive.realvnc.com/download/open/4.0/

下载完成后将security设置为上述就会导致未授权访问漏洞

3、未授权访问

直接使用VNC客户端进行访问:

然后点击continue就可以成功的连接到远程桌面了,因为我是在本地搭建的,就不展示成功截图了

防御手段

  • -配置 VNC 客户端登录口令认证并配置符合密码强度要求的密码。
  • -以最小普通权限身份运行操作系统。

VNC的未授权访问的基本知识就学习完了,非常简短哈,但是这也是一个未授权访问漏洞,学习学习,后面还有很多未授权访问漏洞要学习,我们后面再见(*^▽^*)

未知百分百
关注
  • 9
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
VNC密码验证绕过漏洞攻击案例(2)
gxj022的专栏
09-30 3124
[转]http://book.51cto.com/art/200810/95037.htm ·  摘要:《黑客攻防实战案例解析》第3章网络攻击案例,本章则通过密码扫描、漏洞攻击、社会工程学攻击、以及SQL注入攻击等精选案例来介绍如何实施攻击并最终控制被攻击计算机。本小节讲述的是VNC密码验证绕过漏洞攻击案例。    3.2.4  VNC密码验证绕过漏洞攻击案例(2)
网络人远程控制软件 旗舰版 v2.361
11-12
网络人远程控制软件(Netman)是国内最傻瓜化、速度最快的免费远程控制、远程监控、局域网监控软件,网络人远程控制软件可轻松穿透内网和防火墙,具有屏幕远程监控,文件传输,语音视频监控、定时桌面录像、屏幕墙、视频墙等功能。它使用世界上速度最快的VNC核心,远程遥控鼠标键盘以及上传下载文件的速度超快,传输文件可达每秒11M 的速率,它还可以自定义是否隐蔽监控,因此即可用于远程办公,亦可用于远程监控和管理。它还获得国家公安部认证,通过360、毒霸等各大杀毒软件检测,微软授权数字签名证书,安全可靠客服。 主要功能: 1.访问远程电脑桌面:同步查看远程电脑的屏幕,能使用本地鼠标键盘如操作本机一样操作远程电脑,支持文件上传下载、对屏幕进行拍照和录像,可用于远程电脑维护、远程技术支持等。 2.远程开启电脑摄像头:可远程开启摄像头,上下左右旋转摄像头进行监控(带云台摄像头),还可进行语音视频交流和文字沟通,可对视频进行录像。 3.远程文件管理:上传、下载文件,远程修改、复制、粘帖、运行文件,实现连接双方电脑的资源共享,用于远程办公等。 4.屏幕墙功能:同时观看多台电脑的屏幕,了解对方的电
VNC-5.2.3-Windows和License_key
12-23
VNC-5.2.3-Windows和License_key,
vnc-4_1_2-x86_win32.rar
06-06
VNC客户端(Virtual Network Computing,虚拟网络计算)是一套轻量型的远程控制计算机软件,其采用了GPL授权条款,任何人都可免费取得该软件。VNC客户端主要由两个部分组成:VNC Server及VNC Viewer。VNC允许您访问和控制您的桌面应用程序,你可以用Windows电脑控制Linux系统或苹果的Mac OS,反之亦同。
VNC 服务器密钥许可
11-01
VNC 服务器密钥许可,希望是你要的!!!
数据库审计系统技术方案.doc
03-18
数据库审计系统技术方案 随着信息和网络技术的普及,政府和企事业单位的核心业务信息系统不断的网络化, 随之而来的就是面临的信息安全风险日益增加。而这些安全风险中,来自内部的违规操 作和信息泄漏最为突出。 由于政府和企事业单位的核心业务系统(例如数据库系统、核心业务主机系统)都实 现了网络化访问,内部用户可以方便地利用内部网络通过各种通讯协议进行刺探,获取 、删除或者篡改重要的数据和信息。同时,一些内部授权用户由于对系统不熟悉而导致 的误操作也时常给业务系统造成难以恢复的损失。此外,对于使用IT外包和代维的大型 机构而言,如何限制外部人员对核心业务系统的访问权限也是一个难题,外包方的技术 工程师可能在开发业务系统的时候留下后门或者幽灵帐号,为将来侵入核心业务系统埋 下隐患。 另一方面,为了加强内控,国家强制机关和行业的主管部门相继颁布了各种合规和内 控方面的法律法规和指引,例如《企业内部控制基本规范》、《银行业信息科技风险管理指 引》、《证券公司内部控制指引》、《保险公司风险管理指引(试行)》等。而在国际上,美 国政府针对上市公司的萨班斯(SOX)法案、针对医疗卫生机构的HIPAA法案、针对联邦 政府机构的FISMA法案,支付卡行业数据安全标准(PCI DSS)都对内控提出了严格的要求。这些内控条例和指引都要求对网络中的重要业务系统 进行专门的安全审计。 可以说,随着安全需求的不断提升,网络安全已经从以防范外部入侵和攻击为主逐渐 转变为以防止内部违规和信息泄漏为主了。 在这种情况下,政府和企事业单位迫切需要一款专门针对网络中业务信息系统进行全 方位审计的系统。网御神州借助多年在安全管理领域的积累,推出了SecFox- NBA网络行为审计系统(业务审计型)产品,很好地满足了客户的安全审计需求。 网御神州SecFox-NBA(Network Behavior Analysis for Business Audit)网络行为审计系统(业务审计型)采用旁路侦听的方式对通过网络连接到重要业 务系统(服务器、数据库、业务中间件、数据文件等)的数据流进行采集、分析和识别 ,实时监视用户访问业务系统的状态,记录各种访问行为,发现并及时制止用户的误操 作、违规访问或者可疑行为。产品部署简便,不需要修改任何网络结构和应用配置,不 会影响用户的业务运行。 SecFox- NBA(业务审计型)独有面向业务的安全审计技术,通过业务网络拓扑记录客户业务网络 中各种数据库、主机、web应用系统相互的关联性,审计人员可以根据业务网络的变化快 速查看业务网络中各个设备和整个业务网络的事件和告警信息。 SecFox- NBA网络行为审计系统(业务审计型)能够对业务环境下的网络操作行为进行细粒度审计 。系统通过制定符合业务网的审计策略,对符合策略的网络操作行为进行解析、分析、 记录、汇报,以帮助用户事前规划预防,事中实时监控、违规行为响应,事后合规报告 、事故追踪回放,帮助用户加强内外部网络行为监管、避免核心资产(数据库、网络服 务器等)损失、保障业务系统的正常运营。 SecFox- NBA(业务审计型)能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应 ,并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设 备和系统进行预定义的策略联动,并能够实时阻断可疑的网络通讯,实现安全审计的管 理闭环。 SecFox- NBA(业务审计型)为客户提供了丰富的报表,使得管理人员能够从各个角度对业务系统 的安全状况进行审计,并自动、定期地产生报表。 产品特点 SecFox-NBA 网络行为审计系统(业务审计型)的主要特点包括: 1) 旁路侦听的工作模式和简洁的部署方式 2) 全方位的数据库审计 3) 面向业务的安全审计 4) 业务操作实时监控、过程回放 5) 快速响应和跨设备协同防御 6) 事后分析、调查取证 7) 安全审计报表报告 8) 内置防攻击策略 1 旁路侦听的工作模式和简洁的部署方式 SecFox- NBA(业务审计型)采用旁路侦听的方式进行工作,对业务网络中的数据包进行应用层协 议和流量分析与审计,就像真实世界的摄像机。利用网御神州先进的业务协议检测技术 (Business Protocol Inspection Technology),SecFox- NBA(业务审计型)能够识别各类数据库的访问协议、FTP协议、TELNET协议、VNC协议、 文件共享协议,以及其它20多种应用层协议,经过审计系统的智能分析,发现网络入侵 和操作违规行为。同时,借助网御神州先进的业务流量监测技术(Business Flow Inspection Technology),SecFox- NBA(业务审计型)识别网络中各种应用层协议的流量,及时发现流量
RealVNC 5.0.5
07-18
  提供RealVNC 5.0.5 的可用注册码,激活之后显示可使用到2024年4月24号,够长了吧!密钥见说明,是在安装过程要求填入的。注意安装包中已经内置VNC Server和VNC Viewer!刚刚在两台电脑之间作了测试,远程连接速度很快,操控也相当稳定。至于VNC的详细使用方法,本站将另外单独发文。 VNC,全称:Virtual Network Computing,即虚拟网络计算机。维基百科上解释说它是一种使用RFB协定的屏幕画面分享及远程操作软件。什么RFB协定我们也不了解,总之它就是一款远程控制软件。分客户端和服务端,即VNC Viewer和VNC Server。我觉得VNC最大的特色莫过于它的平台无关性,你可以用Windows电脑控制Linux系统或苹果的Mac OS,反之亦同。另外,没有安装客户端程序的电脑中,也可使用,只要有支持JAVA的浏览器。本文提供RealVNC Enterprise 5最新版下载,并且奉上有效注册码,亲测成功!许可密钥可用到2024年!!!   RealVNC允许您访问和控制您的桌面应用程序,无论你在世界的哪一端。VNC具有广泛的用户群,从个人到世界上最大的跨国公司,利用该技术的应用范围。因为VNC是以GPL方法授权的,派生出了几个VNC软件,主要有RealVNC、TightVNC和UltraVNC,它们都可以被看作是原始VNC程序的延续,其中最有名的当属RealVNC了,也就是本文的主角。它支持的平台包括Windows、Linux、MAC OS X、Solaris、HP-UX以及AIX。   RealVNC目前最新版本为5.0.5,它分免费版、专业版和企业版。企业版即RealVNC Enterprise,它是收费的,当然功能也更加强大。免费版远程控制为个体私营使用,不包含会话加密,还没有包含在个人和企业的高级功能。而企业版是全功能、超安全、易管理的远程控制个人和中型和大型的商业用途。   对于个人,一个常见的??情况是使用VNC,帮助解决一个远程的技术上的问题。而对于企业,一个非常普遍的业务应用程序的VNC远程系统管理,它是用来允许管理员控制员工的机器来诊断和修复问题,或旅行到控制台访问和管理服务器的机器没有。 VNC可以使用,以提供一个灵活的热,办公桌面和道路战士的环境,让员工以访问他们的办公桌面和服务器的机器从任何机器在公司的办公室或其他远程站点,而不管的类型的电脑在任结束。同时它被应用于教育事业,例如允许分布式的学生同时查看计算机屏幕由教员操纵,或允许教师采取控制学生的计算机提供协助。 解压密码:admin
VNC 授权访问漏洞复现
热门推荐
W小哥
09-23 1万+
一、VNC 简介 VNC 是虚拟网络控制台Virtual Network Console的英文缩写。它是一款优秀的远程控制工具软件由美国电话电报公司AT&T的欧洲研究实验室开发。VNC是基于 UNXI 和 Linux 的免费开源软件由 VNC Server 和 VNC Viewer 两部分组成。VNC 默认端口号为 5900、5901。 二、VNC 授权访问漏洞危害 VNC 授权访问漏洞如被利用可能造成恶意用户直接控制目标主机。 三、靶场搭建 服务器: win10 IP: 192.168.241
常用的30+种授权访问漏洞汇总
qq_50854662的博客
09-17 5046
常用的30+种授权访问漏洞汇总
vnc授权访问漏洞
weixin_34245169的博客
03-25 2492
今天扫描发现一个标记为high的vnc授权访问漏洞,想起前几日看书时对这个漏洞的描述,随想小试一把。 BackTrack 5 的功能真是强大,默认安装了vnc的客户端。直接输入IP地址,OK,利用成功。 记下ubuntu下vnc客户端的安装命令sudo apt-get install xtightvncviewer 打开vnc客户端的命令:vnc...
cluster mysqld连接_常见的授权访问漏洞总结(下)
weixin_39553423的博客
11-22 635
八、Zookeeper授权访问0x01 漏洞原因zookeeper是分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。ZooKeeper默认开启在2181端口,在进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括系统名称、Java环境。造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏...
VNC(Virtual Network Computing)允许用户通过网络远程控制其他计算机
最新发布
03-09
vnc-4_1_2-x86_win32_viewer是一个用于Windows操作系统的VNC查看器软件。VNC(Virtual Network Computing)允许用户通过网络远程控制其他计算机。该查看器可以让用户在Windows系统上查看和操作远程计算机的桌面。 要使用vnc-4_1_2-x86_win32_viewer,首先需安装该软件,并确保远程计算机上有一个运行VNC服务器的实例。接下来,您需要输入远程计算机的IP地址或主机名以连接到该计算机。一旦连接成功,您就可以在本地计算机上查看和操作远程计算机的桌面。 此软件适合需要经常远程访问其他计算机或服务器的用户,可提高远程协作和技术支持效率。请注意,安全性是使用远程桌面访问工具时需要考虑的重要问题。建议在设置VNC连接时采取安全措施,如使用加密连接和强密码,以防止授权访问。 希望这个简要介绍能帮助您了解vnc-4_1_2-x86_win32_viewer的功能和用途。
redhat上vnc配置及windows访问设置
02-23
通过windows系统远程访问操作linux服务器,介绍vnc访问软件的设置,实现网络监控
VNC(含注册码)
09-27
VNC客户端主要由两个部分组成:VNC Server及VNC Viewer。VNC允许您访问和控制您的桌面应用程序。亲测可用,欢迎下载
远程桌面-出现身份验证错误
mogexiuluo的博客
07-11 848
1. 打开本地组策略编辑器,可以按win+r组合键输入gpedit.msc命令打开。 2. 选择“计算机配置”--“管理模板”--“系统”--“凭据分配”,在“凭据分配”设置中选择“加密数据库修正”。 3. 在“加密数据库修正”对话框中选择“已启动”,保护级别选择“易受攻击”,然后点击应用。
授权访问服务搭建
公众号shadow sock7
06-04 1827
influxdb安装 参考: https://v2.docs.influxdata.com/v2.0/get-started/ wget https://dl.influxdata.com/influxdb/releases/influxdb_2.0.0-beta.8_linux_amd64.tar.gz tar zxf influxdb_2.0.0-beta.8_linux_amd64.tar....
RealVNC 4.1发现严重安全漏洞
软件开发资料汇总
04-10 754
IntelliAdmin公司工作人员在一次测试中偶然发现RealVNC 4.1有一个严重的安全漏洞, 该漏洞允许远程用户无需口令即可访问运行RealVNC 4.1的系统. (该漏洞亦影响到RealVNC 4.0, TightVNC和UltraVNC, 测试平台为Windows)现在我们仍无法获得该漏洞的详细信息, 不过IntelliAdmin公司公布了一个可用于验证漏洞的网页程序. 网址如下:
常见端口漏洞利用
sweetie 的博客
03-05 3278
常见端口漏洞利用 快速扫描:Masscan -p80,800 ip --rate=10000    21/ FTP 匿名/暴力破解   拒绝服务 22/ SSH 暴力破解 23/ telnet Winbox(cve-2018-14847) 161/ snmp 弱口令   https://blog.csdn.net/archersaber39/article/details/78932252 389/ ladp 匿名访问   https://www.cnblogs.com/persuit/p/5706432.
pve 调用api 访问vnc
08-10
PVE(Proxmox Virtual Environment)是一种开源的虚拟化管理平台,它提供了API接口来管理虚拟机。而VNC(Virtual Network Computing)是一种远程桌面协议,允许用户通过网络访问远程计算机的桌面界面。 在PVE中通过API调用来访问VNC需要以下步骤: 1. 首先,使用API的接口进行认证和授权。可以通过提供用户名和密码或token来进行身份验证。 2. 在认证和授权成功后,使用API的接口获取虚拟机的详细信息,包括虚拟机的ID或名称。可以使用API的查询功能来获取相关信息。 3. 然后,使用API的接口来获取虚拟机的VNC连接信息,其中应包括VNC服务器的IP地址和端口号。可以使用API的调用功能来获取VNC连接的详细信息。 4. 最后,使用获取到的VNC连接信息,使用VNC客户端工具进行连接。可以使用多种VNC客户端工具,如TigerVNC、RealVNC等,来连接VNC服务器。 总结起来,通过PVE的API调用来访问VNC,需要进行认证和授权,获取虚拟机的详细信息,获取VNC连接信息,然后使用VNC客户端工具进行连接。这样,就可以通过网络访问并控制远程虚拟机的桌面界面了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

未知百分百

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值