maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/windows-hardening/active-directory-methodology/ad-infor

Browse Source
This commit is contained in:
Translator 2025-07-15 14:09:41 +00:00
parent 588ead2789
commit 515a414df1
1 changed files with 77 additions and 25 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

100
src/windows-hardening/active-directory-methodology/ad-information-in-printers.md
View File

@ -1,52 +1,104 @@
# Informationen in Druckern
{{#include ../../banners/hacktricks-training.md}}
Es gibt mehrere Blogs im Internet, die **die Gefahren hervorheben, Drucker mit LDAP mit Standard-/schwachen** Anmeldeinformationen konfiguriert zu lassen. \
Das liegt daran, dass ein Angreifer **den Drucker dazu bringen könnte, sich gegen einen bösartigen LDAP-Server zu authentifizieren** (typischerweise reicht ein `nc -vv -l -p 444`) und die **Anmeldeinformationen des Druckers im Klartext** zu erfassen.
Das liegt daran, dass ein Angreifer **den Drucker dazu bringen könnte, sich gegen einen bösartigen LDAP-Server zu authentifizieren** (typischerweise reicht ein `nc -vv -l -p 389` oder `slapd -d 2`) und die Drucker-**Anmeldeinformationen im Klartext** abzufangen.
Außerdem enthalten mehrere Drucker **Protokolle mit Benutzernamen** oder könnten sogar in der Lage sein, **alle Benutzernamen** vom Domänencontroller herunterzuladen.
All diese **sensiblen Informationen** und der allgemeine **Mangel an Sicherheit** machen Drucker für Angreifer sehr interessant.
Einige Blogs zu diesem Thema:
Einige einführende Blogs zu diesem Thema:
- [https://www.ceos3c.com/hacking/obtaining-domain-credentials-printer-netcat/](https://www.ceos3c.com/hacking/obtaining-domain-credentials-printer-netcat/)
- [https://medium.com/@nickvangilder/exploiting-multifunction-printers-during-a-penetration-test-engagement-28d3840d8856](https://medium.com/@nickvangilder/exploiting-multifunction-printers-during-a-penetration-test-engagement-28d3840d8856)
---
## Druckerkonfiguration
- **Standort**: Die LDAP-Serverliste befindet sich unter: `Network > LDAP Setting > Setting Up LDAP`.
- **Verhalten**: Die Schnittstelle ermöglicht LDAP-Serveränderungen, ohne die Anmeldeinformationen erneut einzugeben, was die Benutzerfreundlichkeit erhöht, aber Sicherheitsrisiken birgt.
- **Ausnutzung**: Die Ausnutzung besteht darin, die LDAP-Serveradresse auf eine kontrollierte Maschine umzuleiten und die Funktion "Verbindung testen" zu nutzen, um Anmeldeinformationen zu erfassen.
- **Standort**: Die LDAP-Serverliste befindet sich normalerweise in der Weboberfläche (z. B. *Netzwerk ➜ LDAP-Einstellungen ➜ LDAP einrichten*).
- **Verhalten**: Viele eingebettete Webserver erlauben LDAP-Serveränderungen **ohne erneute Eingabe der Anmeldeinformationen** (Usability-Funktion → Sicherheitsrisiko).
- **Ausnutzen**: Leiten Sie die LDAP-Serveradresse an einen vom Angreifer kontrollierten Host um und verwenden Sie die Schaltfläche *Verbindung testen* / *Adressbuch synchronisieren*, um den Drucker dazu zu bringen, sich mit Ihnen zu verbinden.
---
## Anmeldeinformationen erfassen
**Für detailliertere Schritte siehe die ursprüngliche [Quelle](https://grimhacker.com/2018/03/09/just-a-printer/).**
### Methode 1: Netcat Listener
Ein einfacher Netcat-Listener könnte ausreichen:
### Methode 1 Netcat Listener
```bash
sudo nc -k -v -l -p 386
sudo nc -k -v -l -p 389 # LDAPS → 636 (or 3269)
```
Allerdings variiert der Erfolg dieser Methode.
Kleine/alte MFPs senden möglicherweise ein einfaches *simple-bind* im Klartext, das netcat erfassen kann. Moderne Geräte führen normalerweise zuerst eine anonyme Abfrage durch und versuchen dann das Bind, sodass die Ergebnisse variieren.
### Methode 2: Vollständiger LDAP-Server mit Slapd
### Methode 2 Vollständiger Rogue LDAP-Server (empfohlen)
Ein zuverlässigerer Ansatz besteht darin, einen vollständigen LDAP-Server einzurichten, da der Drucker eine Nullbindung durchführt, gefolgt von einer Abfrage, bevor er versucht, die Anmeldeinformationen zu binden.
1. **LDAP-Server-Einrichtung**: Der Leitfaden folgt den Schritten aus [dieser Quelle](https://www.server-world.info/en/note?os=Fedora_26&p=openldap).
2. **Wichtige Schritte**:
- OpenLDAP installieren.
- Admin-Passwort konfigurieren.
- Grundlegende Schemata importieren.
- Domainnamen in der LDAP-Datenbank festlegen.
- LDAP TLS konfigurieren.
3. **Ausführung des LDAP-Dienstes**: Nach der Einrichtung kann der LDAP-Dienst mit folgendem Befehl ausgeführt werden:
Da viele Geräte eine anonyme Suche *vor* der Authentifizierung durchführen, liefert das Einrichten eines echten LDAP-Daemons viel zuverlässigere Ergebnisse:
```bash
slapd -d 2
# Debian/Ubuntu example
sudo apt install slapd ldap-utils
sudo dpkg-reconfigure slapd # set any base-DN it will not be validated
# run slapd in foreground / debug 2
slapd -d 2 -h "ldap:///" # only LDAP, no LDAPS
```
Wenn der Drucker seine Abfrage durchführt, sehen Sie die Klartext-Anmeldeinformationen in der Debug-Ausgabe.
> 💡 Sie können auch `impacket/examples/ldapd.py` (Python rogue LDAP) oder `Responder -w -r -f` verwenden, um NTLMv2-Hashes über LDAP/SMB zu ernten.
---
## Aktuelle Pass-Back-Sicherheitsanfälligkeiten (2024-2025)
Pass-back ist *kein* theoretisches Problem Anbieter veröffentlichen weiterhin Hinweise in 2024/2025, die genau diese Angriffsart beschreiben.
### Xerox VersaLink CVE-2024-12510 & CVE-2024-12511
Firmware ≤ 57.69.91 der Xerox VersaLink C70xx MFPs erlaubte einem authentifizierten Administrator (oder jedem, wenn die Standardanmeldeinformationen bestehen bleiben):
* **CVE-2024-12510 LDAP pass-back**: Ändern der LDAP-Serveradresse und Auslösen einer Abfrage, wodurch das Gerät die konfigurierten Windows-Anmeldeinformationen an den vom Angreifer kontrollierten Host weitergibt.
* **CVE-2024-12511 SMB/FTP pass-back**: identisches Problem über *scan-to-folder*-Ziele, das NetNTLMv2 oder FTP-Klartext-Anmeldeinformationen preisgibt.
Ein einfacher Listener wie:
```bash
sudo nc -k -v -l -p 389 # capture LDAP bind
```
oder ein rogue SMB-Server (`impacket-smbserver`) reicht aus, um die Anmeldeinformationen zu ernten.
### Canon imageRUNNER / imageCLASS Advisory 20. Mai 2025
Canon bestätigte eine **SMTP/LDAP Pass-Back** Schwachstelle in Dutzenden von Laser- und MFP-Produktlinien. Ein Angreifer mit Admin-Zugriff kann die Serverkonfiguration ändern und die gespeicherten Anmeldeinformationen für LDAP **oder** SMTP abrufen (viele Organisationen verwenden ein privilegiertes Konto, um das Scannen per E-Mail zu ermöglichen).
Die Empfehlungen des Anbieters lauten ausdrücklich:
1. Aktualisieren Sie die Firmware so schnell wie möglich auf die gepatchte Version.
2. Verwenden Sie starke, einzigartige Admin-Passwörter.
3. Vermeiden Sie privilegierte AD-Konten für die Druckerintegration.
---
## Automatisierte Aufzählungs- / Ausnutzungstools
| Tool | Zweck | Beispiel |
|------|---------|---------|
| **PRET** (Printer Exploitation Toolkit) | Missbrauch von PostScript/PJL/PCL, Dateisystemzugriff, Überprüfung der Standardanmeldeinformationen, *SNMP-Entdeckung* | `python pret.py 192.168.1.50 pjl` |
| **Praeda** | Ernte der Konfiguration (einschließlich Adressbücher & LDAP-Anmeldeinformationen) über HTTP/HTTPS | `perl praeda.pl -t 192.168.1.50` |
| **Responder / ntlmrelayx** | Erfassen & Weiterleiten von NetNTLM-Hashes aus SMB/FTP-Pass-Back | `responder -I eth0 -wrf` |
| **impacket-ldapd.py** | Leichter rogue LDAP-Dienst zum Empfangen von Klartext-Bindungen | `python ldapd.py -debug` |
---
## Härtung & Erkennung
1. **Patch / Firmware-Update** MFPs umgehend (prüfen Sie die PSIRT-Bulletins des Anbieters).
2. **Least-Privilege Service Accounts** niemals Domain Admin für LDAP/SMB/SMTP verwenden; auf *read-only* OU-Bereiche beschränken.
3. **Zugriff auf die Verwaltung einschränken** Drucker-Web-/IPP/SNMP-Schnittstellen in ein Management-VLAN oder hinter einer ACL/VPN platzieren.
4. **Deaktivieren Sie ungenutzte Protokolle** FTP, Telnet, raw-9100, ältere SSL-Verschlüsselungen.
5. **Aktivieren Sie die Protokollierung** einige Geräte können LDAP/SMTP-Fehler sysloggen; unerwartete Bindungen korrelieren.
6. **Überwachen Sie auf Klartext-LDAP-Bindungen** von ungewöhnlichen Quellen (Drucker sollten normalerweise nur mit DCs kommunizieren).
7. **SNMPv3 oder SNMP deaktivieren** die Community `public` leakt oft Geräte- & LDAP-Konfiguration.
---
## Referenzen
- [https://grimhacker.com/2018/03/09/just-a-printer/](https://grimhacker.com/2018/03/09/just-a-printer/)
- Rapid7. “Xerox VersaLink C7025 MFP Pass-Back Attack Vulnerabilities.” Februar 2025.
- Canon PSIRT. “Vulnerability Mitigation Against SMTP/LDAP Passback for Laser Printers and Small Office Multifunction Printers.” Mai 2025.
{{#include ../../banners/hacktricks-training.md}}