VNC(Virtual Network Computing),是一种使用RFB协议的屏幕画面分享及远程操作软件。此软件借由网络,可发送键盘与鼠标的动作及即时的屏幕画面。
VNC与操作系统无关,因此可跨平台使用,例如可用Windows连线到某Linux的电脑,反之亦同。甚至在没有安装客户端程序的电脑中,只要有支持JAVA的浏览器,也可使用。
VNC的龙头老大是RealVNC,RFB的协议规范(rfc 6143)也是RealVNC起草发布的。所以LZ就用了RealVNC做实验环境。
RFB(Remote Framebuffer)-用于远程访问图形台式计算机的客户端-服务器网络协议。RFB是VNC中使用的协议。由于它在帧缓冲区级别工作,因此可以用于图形窗口系统,例如X Window System,Windows,Quartz Compositor。
默认情况下,RFB使用5900到5906之间的TCP端口范围。每个端口代表相应的X服务器屏幕(端口5900到5906与屏幕之间的关联从0到6)。
对于Windows系统,默认screen是:0,它对应于端口5900。
VNC支持反向建立连接,vncviewer监听5500端口,等待服务端主动连接。对于内网穿透的情况,反向连接很有用处。
支持TCP/UDP协议。最新版本Real VNC默认使用5900/UDP进行通信。
版本 | 发行者 | 日期 | 规格 |
---|---|---|---|
RFB 3.3 | Orl | January 1998 | The Remote Framebuffer Protocol 3.3 |
RFB 3.7 | RealVNC Ltd | August 2003 | The Remote Framebuffer Protocol 3.7 |
RFB 3.8 (current) | RealVNC Ltd | June 2007 | The Remote Framebuffer Protocol 3.8 |
RFC 6143 - The Remote Framebuffer Protocol (2011) 是针对RFB 3.x版本综合整理的正式协议规范。Real VNC之后每年都会更新RFB版本,现在已经出到RFB 6.0了,但是因为加入加密,高画质传输,聊天等功能,Real VNC对这些在市面上没有公开的协议说明。wireshark也主要是对未加密的RFB 3.x版本的通信数据做解析。
UML源码
title: RFB协议协商过程
_: **1. 握手过程**
客户端 <- 服务器: Server protocol version: 003.008
客户端-> 服务器 : Client Protocol version: 003.008
_: **2. 认证过程**
客户端 <- 服务器: Security types supported
客户端 -> 服务器: Authentication type selected by client
客户端 <- 服务器: Authentication challenge from server
客户端 --> 服务器: ACK
客户端 -> 服务器: Authentication response from client
客户端 <- 服务器: Authentication result
_: **2. 初始化桌面**
客户端 -> 服务器: Share desktop flag
note: 服务器图像颜色等配置,鼠标,键盘事件等交互
VNC连接可以分为4个阶段:握手过程,认证过程,桌面交互和挥手过程。
这里只说前两个阶段。对VNC的图像传输,事件交互处理感兴趣的童鞋可以参考VNCDoTool编写的RFB协议文档。【传送门】
服务器先发送一个ProtocolVersion给客户端,让客户端知道服务器能支持的最高版本号。
客户端回复一个相同格式的ProtocolVerion给服务器,握手结束。
字节数 | 文本 |
---|---|
12 | “RFB 003.008\n” (hex 52 46 42 20 30 30 33 2e 30 30 33 0a) |
wireshark抓包
服务器向客户端发送一个安全类型(Security Type),通知客户端用什么方式认证。这里以VNC认证(2)为例。
安全类型
常用值如下
值 | 名称 |
---|---|
0 | Invalid |
1 | None |
2 | VNC Authentication |
一些其他的值,来自官方定义【传送门】
值 | 名称 |
---|---|
3-4 | RealVNC |
5 | RA2 |
6 | RA2ne |
7-15 | RealVNC |
17 | Ultra |
18 | TLS |
19 | VeNCrypt |
20 | SASL |
21 | MD5 hash authentication |
30-35 | Apple Inc. |
128-255 | RealVNC |
客户端回复相同的安全类型,表示确认。
VNC认证中加密用的参数并没有想TLS协议一样被加密,所以安全性不高,服务器发送一个16字节随机数作为challenge。
客户端通过challenge对自己的密码进行DES加密,然后把算出来的16字节结果作为response发送给服务器。
DES加密算法
使用openssl加密的方法
$ echo 612522e570df96c66abf7a915c9c8f12 |xxd -r -p |openssl des-ecb -nopad -K 61646D696E313233|xxd -p
fbad0f1e3263a809fea34aedcbdde38a
当然,你可能在想为啥这个response(fb ad 0f 1e 32 63 a8 09 fe a3 4a ed cb dd e3 8a
)跟上面wireshark的response(a1 e0 31 7b ec be df e8 15 74 fe ab 9a 3b 20 46)不同。
这是一个好问题,因为VNC对密码做了简单处理,单字节位反转,演示如下
Password : 12345678
Ascii values (HEX) : 31 32 33 34 35 36 37 38
Binary values: 00110001 00110010 00110011 ....
Binary reversed: 10001100 01001100 11001100 ....
Reversed (HEX): 8c 4c cc 2c ac 6c ec 1c
实际用于加密的key为: 8c4ccc2cac6cec1c (12345678 in ASCII)。所以response不同。
至于如何从流量中破解VNC认证方式的密码,有两个思路
服务器判断response是否正确,返回授权结果。0表示授权成功。
授权结果类型
字节数 | 类型 | 描述 |
---|---|---|
4 | 0 | OK |
4 | 1 | failed |
4 | 2 | failed, too many attempts |
在3.8以上版本,如果失败,服务器会发送失败原因的字符串,然后断开连接。
字节数 | 描述 |
---|---|
4 | reason-length |
reason-length | reason-string |
1a表示后面有26个字节
在RFB3.3和3.7版本,如果失败,服务器断开连接。
https://vncdotool.readthedocs.io/en/0.8.0/rfbproto.html
https://blog.csdn.net/chichoxian/article/details/53035712
https://miloserdov.org/?p=4854
https://jamesdotcom.com/vnc-authentication-checking-with-python/
https://ics-cert.kaspersky.com/reports/2019/11/22/vnc-vulnerability-research/
https://news.ycombinator.com/item?id=11130699
https://support.huawei.com/enterprise/zh/doc/EDOC1000091631
https://hashcat.net/forum/thread-8833-post-46908.html#pid46908
https://github.com/x0rz4/vncpwd
P.S. 这篇博文写了大约2个星期终于完成了。开始想写点协议细节的,发现还要看Remote FrameBuffer的图形交互接口,太繁琐了,定的目标太大,容易进坑。所以再三cut之后,总结了一些有用的知识点与同学们分享。
帝都的第二波新冠肺炎突如其来,正好家里出了些事情,百感无力,希望各位同学珍惜身体,平常出门注意保护自己。
文章浏览阅读1.6k次。安装配置gi、安装数据库软件、dbca建库见下:http://blog.csdn.net/kadwf123/article/details/784299611、检查集群节点及状态:[root@rac2 ~]# olsnodes -srac1 Activerac2 Activerac3 Activerac4 Active[root@rac2 ~]_12c查看crs状态
文章浏览阅读1.3w次,点赞45次,收藏99次。我个人用的是anaconda3的一个python集成环境,自带jupyter notebook,但在我打开jupyter notebook界面后,却找不到对应的虚拟环境,原来是jupyter notebook只是通用于下载anaconda时自带的环境,其他环境要想使用必须手动下载一些库:1.首先进入到自己创建的虚拟环境(pytorch是虚拟环境的名字)activate pytorch2.在该环境下下载这个库conda install ipykernelconda install nb__jupyter没有pytorch环境
文章浏览阅读5.2k次,点赞19次,收藏28次。选择scoop纯属意外,也是无奈,因为电脑用户被锁了管理员权限,所有exe安装程序都无法安装,只可以用绿色软件,最后被我发现scoop,省去了到处下载XXX绿色版的烦恼,当然scoop里需要管理员权限的软件也跟我无缘了(譬如everything)。推荐添加dorado这个bucket镜像,里面很多中文软件,但是部分国外的软件下载地址在github,可能无法下载。以上两个是官方bucket的国内镜像,所有软件建议优先从这里下载。上面可以看到很多bucket以及软件数。如果官网登陆不了可以试一下以下方式。_scoop-cn
文章浏览阅读4.5k次,点赞2次,收藏3次。首先要有一个color-picker组件 <el-color-picker v-model="headcolor"></el-color-picker>在data里面data() { return {headcolor: ’ #278add ’ //这里可以选择一个默认的颜色} }然后在你想要改变颜色的地方用v-bind绑定就好了,例如:这里的:sty..._vue el-color-picker
文章浏览阅读640次。基于芯片日益增长的问题,所以内核开发者们引入了新的方法,就是在内核中只保留函数,而数据则不包含,由用户(应用程序员)自己把数据按照规定的格式编写,并放在约定的地方,为了不占用过多的内存,还要求数据以根精简的方式编写。boot启动时,传参给内核,告诉内核设备树文件和kernel的位置,内核启动时根据地址去找到设备树文件,再利用专用的编译器去反编译dtb文件,将dtb还原成数据结构,以供驱动的函数去调用。firmware是三星的一个固件的设备信息,因为找不到固件,所以内核启动不成功。_exynos 4412 刷机
文章浏览阅读2w次,点赞24次,收藏42次。Linux系统配置jdkLinux学习教程,Linux入门教程(超详细)_linux配置jdk
文章浏览阅读3.3k次,点赞5次,收藏19次。xlabel('\delta');ylabel('AUC');具体符号的对照表参照下图:_matlab微米怎么输入
文章浏览阅读119次。顺序读写指的是按照文件中数据的顺序进行读取或写入。对于文本文件,可以使用fgets、fputs、fscanf、fprintf等函数进行顺序读写。在C语言中,对文件的操作通常涉及文件的打开、读写以及关闭。文件的打开使用fopen函数,而关闭则使用fclose函数。在C语言中,可以使用fread和fwrite函数进行二进制读写。 Biaoge 于2024-03-09 23:51发布 阅读量:7 ️文章类型:【 C语言程序设计 】在C语言中,用于打开文件的函数是____,用于关闭文件的函数是____。
文章浏览阅读3.4k次,点赞2次,收藏13次。跟随鼠标移动的粒子以grid(SOP)为partical(SOP)的资源模板,调整后连接【Geo组合+point spirit(MAT)】,在连接【feedback组合】适当调整。影响粒子动态的节点【metaball(SOP)+force(SOP)】添加mouse in(CHOP)鼠标位置到metaball的坐标,实现鼠标影响。..._touchdesigner怎么让一个模型跟着鼠标移动
文章浏览阅读178次。项目运行环境配置:Jdk1.8 + Tomcat7.0 + Mysql + HBuilderX(Webstorm也行)+ Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。项目技术:Springboot + mybatis + Maven +mysql5.7或8.0+html+css+js等等组成,B/S模式 + Maven管理等等。环境需要1.运行环境:最好是java jdk 1.8,我们在这个平台上运行的。其他版本理论上也可以。_基于java技术的停车场管理系统实现与设计
文章浏览阅读3.5k次。前言对于MediaPlayer播放器的源码分析内容相对来说比较多,会从Java-&amp;gt;Jni-&amp;gt;C/C++慢慢分析,后面会慢慢更新。另外,博客只作为自己学习记录的一种方式,对于其他的不过多的评论。MediaPlayerDemopublic class MainActivity extends AppCompatActivity implements SurfaceHolder.Cal..._android多媒体播放源码分析 时序图
文章浏览阅读2.4k次,点赞41次,收藏13次。java 数据结构与算法 ——快速排序法_快速排序法