5900
VNC
genelVNC versiyon/banner tespiti, kimlik dogrulamasiz (no-auth) erisim kontrolu, parola brute-force ve ele gecirilen sifrelenmis VNC parolasinin vncpwd/vncpwd-benzeri araclarla cozulmesi.
┌──
Komutlar
nmap ✓ EXAM-SAFE
nmap -p 5900 -sV -sC {{RHOST}} VNC/RFB versiyon tespiti + varsayilan NSE scriptleri. HackTricks — Pentesting VNC
nmap ✓ EXAM-SAFE
nmap -p 5900 --script vnc-info,vnc-title,realvnc-auth-bypass {{RHOST}} RFB protokol surumu, masaustu basligi ve RealVNC 4.1.x auth-bypass (CVE-2006-2369) kontrolu. HackTricks — Pentesting VNC
vncviewer ✓ EXAM-SAFE
vncviewer {{RHOST}}::{{RPORT}} Dogrudan baglanma — no-auth/zayif yapilandirilmis VNC'de parolasiz masaustu erisimi. HackTricks — Pentesting VNC
vncviewer ✓ EXAM-SAFE
vncviewer -passwd vnc.pass {{RHOST}}::{{RPORT}} Ele gecirilen/cozulen parola dosyasi ile VNC oturumu. HackTricks — Pentesting VNC
hydra ✓ EXAM-SAFE
hydra -P {{WORDLIST}} -t 4 vnc://{{RHOST}}:{{RPORT}} VNC parola brute-force (VNC genelde sadece parola, kullanici adi yok). TJnull PWK/OSCP Prep guide
vncpwd ✓ EXAM-SAFE
vncpwd {{WORDLIST}} Ele gecirilen sifrelenmis VNC parolasini (sabit DES anahtariyla sifrelenmis ~/.vnc/passwd) cozme. HackTricks — Pentesting VNC
msfconsole ⚠ RESTRICTED
msfconsole -q -x 'use auxiliary/scanner/vnc/vnc_none_auth; set RHOSTS {{RHOSTS}}; run; exit' No-auth VNC tarayicisi — birden cok hedefte parolasiz VNC tespiti. HackTricks — Pentesting VNC
msfconsole ⚠ RESTRICTED
msfconsole -q -x 'use auxiliary/scanner/vnc/vnc_login; set RHOSTS {{RHOSTS}}; set PASS_FILE {{WORDLIST}}; run; exit' VNC parola brute-force (Metasploit; exam'de tek hedef/saymalı kullan). HackTricks — Pentesting VNC
Genel Bakis
VNC (RFB protokolu, tipik 5900/tcp; ekran N icin 5900+N) grafik uzak masaustu saglar. OSCP’de no-auth yanlis yapilandirmasi, zayif parola veya ele gecirilen ~/.vnc/passwd dosyasinin cozulmesi ile foothold/eskalasyon noktasi olur.
Enumeration
- nmap
vnc-infoile RFB surumunu (3.3/3.7/3.8) ve auth tipini al;vnc-titlemasaustu basligini dondurur (hangi makine/oturum oldugu ipucu). - RealVNC 4.1.x calisiyorsa
realvnc-auth-bypass(CVE-2006-2369) auth tamamen atlanabilir — kritik bulgu. - Birden fazla ekran olabilir: 5900, 5901, 5902… ayrica tara.
Bilinen Zafiyetler
- CVE-2006-2369 (RealVNC 4.1.1): istemci ‘None’ auth tipini secip parolasiz baglanabilir — nmap scripti ile dogrula, sonra
vncviewerile bagan. - No-auth yapilandirma: hicbir parola istenmez; dogrudan
vncviewerile masaustu acilir.
Exploitation / Auth
- Once parolasiz baglan:
vncviewer {{RHOST}}::{{RPORT}}. Parola isteniyorsahydraile brute-force yap — VNC’de kullanici adi yoktur, sadece parola sozlugu gerekir. - VNC parolasi 8 karakterle kisitlidir, bu da brute-force/cozumu kolaylastirir.
- Metasploit modulleri (vnc_none_auth, vnc_login) coklu hedef taramasi icin pratik ama exam’de otomatik exploitation sayildigindan
restricted; tek hedefte el ile tercih et.
Loot: Sifrelenmis VNC Parolasi
- Dosya sisteminde
~/.vnc/passwd, UltraVNC.ini, veya registry’de sabit (well-known) DES anahtariyla sifrelenmis VNC parolasi bulursanvncpwd(veya echo+openssl tabanli scriptler) ile aninda duz metne cevir. Bu, parola yeniden kullanimi icin cok degerli.
Pivot / Loot Notlari
- VNC masaustu erisimi cogu zaman zaten oturum acmis bir kullanici/admin oturumu verir — ekrandaki acik uygulamalar, kaydedilmis parolalar ve clipboard loot kaynagidir.
- Cozulen VNC parolasini SSH/RDP/SMB gibi servislerde dene; password reuse sik gorulur.
Gotchas
- Port-ekran karisikligi: 5900 = display 0, 5901 = display 1. Yanlis porta baglanmak ‘connection refused’ verir.
- Bazi modern VNC’ler (TigerVNC/TLS) ek sifreleme ister; klasik
vncviewerel sikismada takilirsa istemci secenekleri/protokol surumunu kontrol et.
┌──
İlgili teknikler
┌──