maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/windows-hardening/active-directory-methodology/ad-infor

Browse Source
This commit is contained in:
Translator 2025-07-15 14:09:52 +00:00
parent 9c72f44dbf
commit 914ce5c0e6
1 changed files with 77 additions and 25 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

102
src/windows-hardening/active-directory-methodology/ad-information-in-printers.md
View File

@ -1,52 +1,104 @@
# Πληροφορίες σε Εκτυπωτές
{{#include ../../banners/hacktricks-training.md}}
Υπάρχουν αρκετά blogs στο Διαδίκτυο που **τονίζουν τους κινδύνους του να αφήνουμε εκτυπωτές ρυθμισμένους με LDAP με προεπιλεγμένα/αδύναμα** διαπιστευτήρια σύνδεσης.\
Αυτό συμβαίνει επειδή ένας επιτιθέμενος θα μπορούσε να **παραπλανήσει τον εκτυπωτή να πιστοποιηθεί σε έναν κακόβουλο LDAP server** (συνήθως ένα `nc -vv -l -p 444` είναι αρκετό) και να καταγράψει τα **διαπιστευτήρια του εκτυπωτή σε καθαρό κείμενο**.
Υπάρχουν αρκετά blogs στο Διαδίκτυο που **τονίζουν τους κινδύνους του να αφήνεις τους εκτυπωτές ρυθμισμένους με LDAP με προεπιλεγμένα/αδύναμα** διαπιστευτήρια σύνδεσης. \
Αυτό συμβαίνει επειδή ένας επιτιθέμενος θα μπορούσε να **παραπλανήσει τον εκτυπωτή να πιστοποιηθεί σε έναν κακόβουλο LDAP server** (συνήθως ένα `nc -vv -l -p 389` ή `slapd -d 2` είναι αρκετό) και να καταγράψει τα **διαπιστευτήρια του εκτυπωτή σε καθαρό κείμενο**.
Επίσης, αρκετοί εκτυπωτές θα περιέχουν **αρχεία καταγραφής με ονόματα χρηστών** ή θα μπορούσαν ακόμη και να είναι σε θέση να **κατεβάσουν όλα τα ονόματα χρηστών** από τον Domain Controller.
Όλες αυτές οι **ευαίσθητες πληροφορίες** και η κοινή **έλλειψη ασφάλειας** καθιστούν τους εκτυπωτές πολύ ενδιαφέροντες για τους επιτιθέμενους.
Ορισμένα blogs σχετικά με το θέμα:
Ορισμένα εισαγωγικά blogs σχετικά με το θέμα:
- [https://www.ceos3c.com/hacking/obtaining-domain-credentials-printer-netcat/](https://www.ceos3c.com/hacking/obtaining-domain-credentials-printer-netcat/)
- [https://medium.com/@nickvangilder/exploiting-multifunction-printers-during-a-penetration-test-engagement-28d3840d8856](https://medium.com/@nickvangilder/exploiting-multifunction-printers-during-a-penetration-test-engagement-28d3840d8856)
---
## Ρύθμιση Εκτυπωτή
- **Τοποθεσία**: Η λίστα των LDAP servers βρίσκεται στο: `Network > LDAP Setting > Setting Up LDAP`.
- **Συμπεριφορά**: Η διεπαφή επιτρέπει τροποποιήσεις στους LDAP servers χωρίς να χρειάζεται να ξαναεισαχθούν τα διαπιστευτήρια, στοχεύοντας στην ευκολία του χρήστη αλλά θέτοντας σε κίνδυνο την ασφάλεια.
- **Εκμετάλλευση**: Η εκμετάλλευση περιλαμβάνει την ανακατεύθυνση της διεύθυνσης του LDAP server σε έναν ελεγχόμενο υπολογιστή και την αξιοποίηση της δυνατότητας "Δοκιμή Σύνδεσης" για την καταγραφή των διαπιστευτηρίων.
- **Τοποθεσία**: Η λίστα των LDAP servers συνήθως βρίσκεται στη διαδικτυακή διεπαφή (π.χ. *Δίκτυο ➜ Ρύθμιση LDAP ➜ Ρύθμιση LDAP*).
- **Συμπεριφορά**: Πολλοί ενσωματωμένοι διαδικτυακοί διακομιστές επιτρέπουν τροποποιήσεις LDAP server **χωρίς να απαιτείται εκ νέου εισαγωγή διαπιστευτηρίων** (χαρακτηριστικό χρηστικότητας → κίνδυνος ασφάλειας).
- **Εκμετάλλευση**: Ανακατεύθυνση της διεύθυνσης του LDAP server σε έναν ελεγχόμενο από τον επιτιθέμενο υπολογιστή και χρήση του κουμπιού *Δοκιμή Σύνδεσης* / *Συγχρονισμός Καταλόγου* για να αναγκάσεις τον εκτυπωτή να συνδεθεί σε εσένα.
---
## Καταγραφή Διαπιστευτηρίων
**Για πιο λεπτομερή βήματα, ανατρέξτε στην αρχική [πηγή](https://grimhacker.com/2018/03/09/just-a-printer/).**
### Μέθοδος 1: Netcat Listener
Ένας απλός netcat listener μπορεί να είναι αρκετός:
### Μέθοδος 1 Netcat Listener
```bash
sudo nc -k -v -l -p 386
sudo nc -k -v -l -p 389 # LDAPS → 636 (or 3269)
```
Ωστόσο, η επιτυχία αυτής της μεθόδου ποικίλλει.
Μικρές/παλιές MFPs μπορεί να στείλουν ένα απλό *simple-bind* σε καθαρό κείμενο που μπορεί να το καταγράψει το netcat. Οι σύγχρονες συσκευές συνήθως εκτελούν πρώτα μια ανώνυμη αναζήτηση και στη συνέχεια προσπαθούν να συνδεθούν, οπότε τα αποτελέσματα διαφέρουν.
### Μέθοδος 2: Πλήρης LDAP Server με Slapd
### Μέθοδος 2 Πλήρης Rogue LDAP server (συνιστάται)
Μια πιο αξιόπιστη προσέγγιση περιλαμβάνει τη ρύθμιση ενός πλήρους LDAP server, καθώς ο εκτυπωτής εκτελεί μια null bind ακολουθούμενη από ένα query πριν προσπαθήσει την πιστοποίηση των διαπιστευτηρίων.
1. **Ρύθμιση LDAP Server**: Ο οδηγός ακολουθεί βήματα από [this source](https://www.server-world.info/en/note?os=Fedora_26&p=openldap).
2. **Κύρια Βήματα**:
- Εγκατάσταση OpenLDAP.
- Ρύθμιση κωδικού πρόσβασης διαχειριστή.
- Εισαγωγή βασικών σχημάτων.
- Ρύθμιση ονόματος τομέα στη βάση δεδομένων LDAP.
- Ρύθμιση LDAP TLS.
3. **Εκτέλεση Υπηρεσίας LDAP**: Μόλις ρυθμιστεί, η υπηρεσία LDAP μπορεί να εκτελείται χρησιμοποιώντας:
Επειδή πολλές συσκευές θα εκδώσουν μια ανώνυμη αναζήτηση *πριν* την αυθεντικοποίηση, η εγκατάσταση ενός πραγματικού LDAP daemon αποδίδει πολύ πιο αξιόπιστα αποτελέσματα:
```bash
slapd -d 2
# Debian/Ubuntu example
sudo apt install slapd ldap-utils
sudo dpkg-reconfigure slapd # set any base-DN it will not be validated
# run slapd in foreground / debug 2
slapd -d 2 -h "ldap:///" # only LDAP, no LDAPS
```
Όταν ο εκτυπωτής εκτελεί την αναζήτησή του, θα δείτε τα διαπιστευτήρια σε καθαρό κείμενο στην έξοδο αποσφαλμάτωσης.
> 💡 Μπορείτε επίσης να χρησιμοποιήσετε το `impacket/examples/ldapd.py` (Python rogue LDAP) ή το `Responder -w -r -f` για να συλλέξετε NTLMv2 hashes μέσω LDAP/SMB.
---
## Πρόσφατες Ευπάθειες Pass-Back (2024-2025)
Το pass-back *δεν είναι* θεωρητικό ζήτημα οι προμηθευτές συνεχίζουν να δημοσιεύουν συμβουλές το 2024/2025 που περιγράφουν ακριβώς αυτή την κατηγορία επιθέσεων.
### Xerox VersaLink CVE-2024-12510 & CVE-2024-12511
Το firmware ≤ 57.69.91 των Xerox VersaLink C70xx MFPs επέτρεψε σε έναν αυθεντικοποιημένο διαχειριστή (ή σε οποιονδήποτε όταν παραμένουν τα προεπιλεγμένα διαπιστευτήρια) να:
* **CVE-2024-12510 LDAP pass-back**: αλλάξει τη διεύθυνση του LDAP server και να ενεργοποιήσει μια αναζήτηση, προκαλώντας τη συσκευή να διαρρεύσει τα διαπιστευτήρια Windows που έχουν ρυθμιστεί στον ελεγχόμενο από τον επιτιθέμενο υπολογιστή.
* **CVE-2024-12511 SMB/FTP pass-back**: ταυτόσημο ζήτημα μέσω *scan-to-folder* προορισμών, διαρρέοντας NetNTLMv2 ή FTP διαπιστευτήρια σε καθαρό κείμενο.
Ένας απλός ακροατής όπως:
```bash
sudo nc -k -v -l -p 389 # capture LDAP bind
```
ή ένας κακόβουλος διακομιστής SMB (`impacket-smbserver`) είναι αρκετός για να συλλέξει τα διαπιστευτήρια.
### Canon imageRUNNER / imageCLASS Advisory 20 Μαΐου 2025
Η Canon επιβεβαίωσε μια **αδυναμία SMTP/LDAP pass-back** σε δεκάδες σειρές προϊόντων Laser & MFP. Ένας επιτιθέμενος με πρόσβαση διαχειριστή μπορεί να τροποποιήσει τη διαμόρφωση του διακομιστή και να ανακτήσει τα αποθηκευμένα διαπιστευτήρια για LDAP **ή** SMTP (πολλές οργανώσεις χρησιμοποιούν έναν προνομιούχο λογαριασμό για να επιτρέπουν το scan-to-mail).
Οι οδηγίες του προμηθευτή συνιστούν ρητά:
1. Ενημέρωση σε διορθωμένο firmware μόλις είναι διαθέσιμο.
2. Χρήση ισχυρών, μοναδικών κωδικών διαχειριστή.
3. Αποφυγή προνομιούχων λογαριασμών AD για την ενσωμάτωση εκτυπωτών.
---
## Αυτοματοποιημένα Εργαλεία Αρίθμησης / Εκμετάλλευσης
| Εργαλείο | Σκοπός | Παράδειγμα |
|------|---------|---------|
| **PRET** (Printer Exploitation Toolkit) | Κατάχρηση PostScript/PJL/PCL, πρόσβαση στο σύστημα αρχείων, έλεγχος προεπιλεγμένων διαπιστευτηρίων, *ανακάλυψη SNMP* | `python pret.py 192.168.1.50 pjl` |
| **Praeda** | Συλλογή διαμόρφωσης (συμπεριλαμβανομένων των διευθύνσεων και των διαπιστευτηρίων LDAP) μέσω HTTP/HTTPS | `perl praeda.pl -t 192.168.1.50` |
| **Responder / ntlmrelayx** | Σύλληψη & αναμετάδοση NetNTLM hashes από SMB/FTP pass-back | `responder -I eth0 -wrf` |
| **impacket-ldapd.py** | Ελαφριά κακόβουλη υπηρεσία LDAP για να δέχεται συνδέσεις σε καθαρό κείμενο | `python ldapd.py -debug` |
---
## Σκληροποίηση & Ανίχνευση
1. **Ενημέρωση / αναβάθμιση firmware** MFPs άμεσα (ελέγξτε τα δελτία PSIRT του προμηθευτή).
2. **Λογαριασμοί Υπηρεσιών Ελάχιστης Προνομίας** ποτέ μην χρησιμοποιείτε Domain Admin για LDAP/SMB/SMTP; περιορίστε σε *μόνο-ανάγνωση* πεδία OU.
3. **Περιορίστε την Πρόσβαση Διαχείρισης** τοποθετήστε τις διεπαφές εκτυπωτών web/IPP/SNMP σε ένα VLAN διαχείρισης ή πίσω από ένα ACL/VPN.
4. **Απενεργοποιήστε Μη Χρησιμοποιούμενα Πρωτόκολλα** FTP, Telnet, raw-9100, παλαιότερους κρυπτογράφους SSL.
5. **Ενεργοποιήστε την Καταγραφή Ελέγχου** ορισμένες συσκευές μπορούν να καταγράφουν αποτυχίες LDAP/SMTP; συσχετίστε απροσδόκητες συνδέσεις.
6. **Παρακολουθήστε για Συνδέσεις LDAP σε Καθαρό Κείμενο** από ασυνήθιστες πηγές (οι εκτυπωτές θα πρέπει κανονικά να επικοινωνούν μόνο με DCs).
7. **SNMPv3 ή απενεργοποιήστε το SNMP** η κοινότητα `public` συχνά διαρρέει τη διαμόρφωση συσκευής & LDAP.
---
## Αναφορές
- [https://grimhacker.com/2018/03/09/just-a-printer/](https://grimhacker.com/2018/03/09/just-a-printer/)
- Rapid7. “Xerox VersaLink C7025 MFP Pass-Back Attack Vulnerabilities.” Φεβρουάριος 2025.
- Canon PSIRT. “Vulnerability Mitigation Against SMTP/LDAP Passback for Laser Printers and Small Office Multifunction Printers.” Μαΐος 2025.
{{#include ../../banners/hacktricks-training.md}}