Contenido principal

VNC Hash cifrador/descifrador

Agosto 25, 2008

Con el fin de innovar, publico esta nueva herramienta, que permite cifrar y descifrar hashes generados por el servidor del software VNC (Virtual Network Computing).
El sistema que usa para cifrar las contraseñas que usa el servidor para autenticar al cliente es una variación del estandar de cifrado de datos (DES) y una llave en ascii (23,82,107,6,35,78,88,7), que es igual para todos los computadores, de allí que el hash es inseguro, ya que si obtenemos el hash podemos saber cual es la clave en plano.
Para obtener el hash de dicha clave, podemos ingresar al registro del sistema de windows, de la siguiente forma:

inicio > ejecutar > regedit [enter]

Al abrirse dicho registro, debemos buscar por las siguientes claves:

\HKEY_CURRENT_USER\Software\ORL\WinVNC3\Password
\HKEY_USERS\.DEFAULT\Software\ORL\WinVNC3\Password

Allí encontramos el hexadecimal de la clave cifrada, y basta con pasarle el descifrador que se encuentra en esta página.

Otra cosa que es muy insegura en este cifrado, es que se trunca la clave de acceso a ocho caracteres, si la clave que ingresamos en el servidor VNC es "www.sinfocol.org" el programa automáticamente recorta la clave, dejandola como "www.sinf".

En conclusión, el sistema para guardar las claves es muy inseguro, ya que aparte de utilizar una misma clave en el cifrado DES, se truncan los caracteres, haciendo posible un ataque por fuerza bruta.

Una forma de asegurar nuestras claves, es mediante el código fuente del VNC, cambiar la clave del DES, a otra diferente, y hacer que el programa no recorte los caracteres.

El link para ingresar a la utilidad se encuentra ACÁ, o ingresar mediante el panel de herramientas a la derecha de la aplicación web.

La utilidad es una versión beta, así que cualquier error por favor reportalo a .
De paso gracias a beford por ayudarme a programar el cifrador.

Script del vncauth en otros lenguajes:
UltraVNC
Java VNC

Archivado en: Criptografía, Hacking, Programación |

3 comentarios

  1. Visor de Cabeceras HTTP | Seguridad Informática Colombiana Febrero 3, 2012 @ 8:26 am

    [...] la par con la herramienta VNC Hash, publico ésta útil herramienta, que nos permite observar las cabeceras que manda nuestro [...]

  2. Paul Viera Junio 4, 2013 @ 9:38 am

    Amigo muy buena el código de la aplicación xD...lo malo es que no se mucho de java y solo he logrado encontrar en donde recibe la contraseña, y bueno mi punto es que si me pudieras pasar solo la clase que decifra y cifra la contraseña.. entre todos esos archivos si vi cual es pero no se en donde bota el string de la contraseña cifrada o descifrada.. necesito eso porque yo me cree en VB un aplicativo para el vnc y pues el descifrador de la contraseña que tengo no es muy bueno.. de antemano muchas gracias

  3. Sysroot Julio 13, 2013 @ 6:55 pm

    Paul Viera: Lo siento pero el código que porté está en PHP y no en VB. Podría intentar portalo usted mismo desde Java a VB o buscar implementaciones ya hechas en VB.

Deja un comentario