maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/windows-hardening/active-directory-methodology/ad-infor

Browse Source
This commit is contained in:
Translator 2025-07-15 14:09:43 +00:00
parent 1b1c09a6b3
commit d7aca45712
1 changed files with 78 additions and 26 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

104
src/windows-hardening/active-directory-methodology/ad-information-in-printers.md
View File

@ -1,52 +1,104 @@
# 프린터의 정보
{{#include ../../banners/hacktricks-training.md}}
인터넷에는 **기본/약한** 로그인 자격 증명으로 LDAP 구성된 프린터의 위험성을 **강조하는** 여러 블로그가 있습니다.\
이는 공격자가 프린터를 **속여 악성 LDAP 서버에 인증하도록** 할 수 있기 때문입니다 (일반적으로 `nc -vv -l -p 444`면 충분합니다) 그리고 프린터의 **자격 증명을 평문으로** 캡처할 수 있습니다.
인터넷에는 **기본/약한** 로그인 자격 증명으로 LDAP 구성된 프린터의 위험성을 **강조하는** 여러 블로그가 있습니다. \
이는 공격자가 **프린터를 속여 악성 LDAP 서버에 인증하도록** 할 수 있기 때문입니다 (일반적으로 `nc -vv -l -p 389` 또는 `slapd -d 2`면 충분합니다) 그리고 프린터의 **자격 증명을 평문으로** 캡처할 수 있습니다.
또한, 여러 프린터는 **사용자 이름이 포함된 로그**를 가지고 있거나 도메인 컨트롤러에서 **모든 사용자 이름을 다운로드**할 수 있습니다.
또한, 여러 프린터는 **사용자 이름이 포함된 로그**를 포함하거나 도메인 컨트롤러에서 **모든 사용자 이름을 다운로드**할 수 있습니다.
이 모든 **민감한 정보**와 일반적인 **보안 부족**은 프린터를 공격자에게 매우 흥미롭게 만듭니다.
주제에 대한 몇 가지 블로그:
주제에 대한 몇 가지 소개 블로그:
- [https://www.ceos3c.com/hacking/obtaining-domain-credentials-printer-netcat/](https://www.ceos3c.com/hacking/obtaining-domain-credentials-printer-netcat/)
- [https://medium.com/@nickvangilder/exploiting-multifunction-printers-during-a-penetration-test-engagement-28d3840d8856](https://medium.com/@nickvangilder/exploiting-multifunction-printers-during-a-penetration-test-engagement-28d3840d8856)
---
## 프린터 구성
- **위치**: LDAP 서버 목록은 다음에서 찾을 수 있습니다: `Network > LDAP Setting > Setting Up LDAP`.
- **동작**: 인터페이스는 자격 증명을 다시 입력하지 않고 LDAP 서버 수정을 허용하여 사용자 편의를 목표로 하지만 보안 위험을 초래합니다.
- **악용**: 악용은 LDAP 서버 주소를 제어된 머신으로 리디렉션하고 "연결 테스트" 기능을 활용하여 자격 증명을 캡처하는 것입니다.
- **위치**: LDAP 서버 목록은 일반적으로 웹 인터페이스에서 찾을 수 있습니다 (예: *Network ➜ LDAP Setting ➜ Setting Up LDAP*).
- **동작**: 많은 임베디드 웹 서버는 **자격 증명을 다시 입력하지 않고도** LDAP 서버 수정을 허용합니다 (사용성 기능 → 보안 위험).
- **악용**: LDAP 서버 주소를 공격자가 제어하는 호스트로 리디렉션하고 *Test Connection* / *Address Book Sync* 버튼을 사용하여 프린터가 당신에게 바인딩하도록 강제합니다.
---
## 자격 증명 캡처
**자세한 단계는 원본 [source](https://grimhacker.com/2018/03/09/just-a-printer/)를 참조하십시오.**
### 방법 1: 넷캣 리스너
간단한 넷캣 리스너면 충분할 수 있습니다:
### 방법 1 넷캣 리스너
```bash
sudo nc -k -v -l -p 386
sudo nc -k -v -l -p 389 # LDAPS → 636 (or 3269)
```
그러나 이 방법의 성공률은 다릅니다.
작고 오래된 MFP는 netcat이 캡처할 수 있는 간단한 *simple-bind*를 평문으로 전송할 수 있습니다. 현대 장치는 일반적으로 인증하기 전에 익명 쿼리를 수행하므로 결과는 다를 수 있습니다.
### 방법 2: Slapd가 포함된 전체 LDAP 서버
### 방법 2 전체 악성 LDAP 서버 (권장)
더 신뢰할 수 있는 접근 방식은 전체 LDAP 서버를 설정하는 것입니다. 프린터는 자격 증명 바인딩을 시도하기 전에 널 바인드를 수행하고 쿼리를 실행합니다.
1. **LDAP 서버 설정**: 가이드는 [이 출처](https://www.server-world.info/en/note?os=Fedora_26&p=openldap)에서 단계를 따릅니다.
2. **주요 단계**:
- OpenLDAP 설치.
- 관리자 비밀번호 구성.
- 기본 스키마 가져오기.
- LDAP DB에 도메인 이름 설정.
- LDAP TLS 구성.
3. **LDAP 서비스 실행**: 설정이 완료되면 LDAP 서비스를 다음을 사용하여 실행할 수 있습니다:
많은 장치가 인증하기 *전에* 익명 검색을 수행하기 때문에, 실제 LDAP 데몬을 설정하면 훨씬 더 신뢰할 수 있는 결과를 얻을 수 있습니다:
```bash
slapd -d 2
# Debian/Ubuntu example
sudo apt install slapd ldap-utils
sudo dpkg-reconfigure slapd # set any base-DN it will not be validated
# run slapd in foreground / debug 2
slapd -d 2 -h "ldap:///" # only LDAP, no LDAPS
```
프린터가 조회를 수행할 때 디버그 출력에서 평문 자격 증명을 볼 수 있습니다.
> 💡 `impacket/examples/ldapd.py` (Python rogue LDAP) 또는 `Responder -w -r -f`를 사용하여 LDAP/SMB를 통해 NTLMv2 해시를 수집할 수도 있습니다.
---
## 최근 패스백 취약점 (2024-2025)
패스백은 *이론적인 문제*가 아닙니다 공급업체들은 2024/2025년에 이 공격 클래스를 정확히 설명하는 권고를 계속 발표하고 있습니다.
### Xerox VersaLink CVE-2024-12510 & CVE-2024-12511
Xerox VersaLink C70xx MFP의 펌웨어 ≤ 57.69.91는 인증된 관리자(또는 기본 자격 증명이 유지될 경우 누구나)가 다음을 수행할 수 있게 했습니다:
* **CVE-2024-12510 LDAP 패스백**: LDAP 서버 주소를 변경하고 조회를 트리거하여 장치가 구성된 Windows 자격 증명을 공격자가 제어하는 호스트로 유출하게 합니다.
* **CVE-2024-12511 SMB/FTP 패스백**: *폴더로 스캔* 목적지를 통해 동일한 문제로 NetNTLMv2 또는 FTP 평문 자격 증명이 유출됩니다.
간단한 리스너 예:
```bash
sudo nc -k -v -l -p 389 # capture LDAP bind
```
or a rogue SMB server (`impacket-smbserver`)는 자격 증명을 수집하기에 충분합니다.
### Canon imageRUNNER / imageCLASS 권고 2025년 5월 20일
Canon은 수십 개의 레이저 및 MFP 제품군에서 **SMTP/LDAP 패스백** 취약점을 확인했습니다. 관리 액세스 권한이 있는 공격자는 서버 구성을 수정하고 LDAP **또는** SMTP에 저장된 자격 증명을 검색할 수 있습니다 (많은 조직이 스캔-투-메일을 허용하기 위해 특권 계정을 사용합니다).
제조업체의 지침은 명시적으로 다음을 권장합니다:
1. 가능한 한 빨리 패치된 펌웨어로 업데이트합니다.
2. 강력하고 고유한 관리자 비밀번호를 사용합니다.
3. 프린터 통합을 위해 특권 AD 계정을 피합니다.
---
## 자동화된 열거 / 악용 도구
| 도구 | 목적 | 예시 |
|------|---------|---------|
| **PRET** (Printer Exploitation Toolkit) | PostScript/PJL/PCL 남용, 파일 시스템 접근, 기본 자격 증명 확인, *SNMP 발견* | `python pret.py 192.168.1.50 pjl` |
| **Praeda** | HTTP/HTTPS를 통해 구성 수집 (주소록 및 LDAP 자격 증명 포함) | `perl praeda.pl -t 192.168.1.50` |
| **Responder / ntlmrelayx** | SMB/FTP 패스백에서 NetNTLM 해시 캡처 및 중계 | `responder -I eth0 -wrf` |
| **impacket-ldapd.py** | 평문 바인드를 수신하기 위한 경량의 악성 LDAP 서비스 | `python ldapd.py -debug` |
---
## 강화 및 탐지
1. **패치 / 펌웨어 업데이트** MFP를 신속하게 수행합니다 (제조업체 PSIRT 공지를 확인하십시오).
2. **최소 권한 서비스 계정** LDAP/SMB/SMTP에 도메인 관리자를 사용하지 마십시오; *읽기 전용* OU 범위로 제한합니다.
3. **관리 액세스 제한** 프린터 웹/IPP/SNMP 인터페이스를 관리 VLAN에 배치하거나 ACL/VPN 뒤에 두십시오.
4. **사용하지 않는 프로토콜 비활성화** FTP, Telnet, raw-9100, 구형 SSL 암호.
5. **감사 로깅 활성화** 일부 장치는 LDAP/SMTP 실패를 syslog할 수 있습니다; 예상치 못한 바인드를 상관관계합니다.
6. **비정상적인 출처에서 평문 LDAP 바인드를 모니터링**합니다 (프린터는 일반적으로 DC와만 통신해야 합니다).
7. **SNMPv3 또는 SNMP 비활성화** 커뮤니티 `public`은 종종 장치 및 LDAP 구성을 유출합니다.
---
## 참고 문헌
- [https://grimhacker.com/2018/03/09/just-a-printer/](https://grimhacker.com/2018/03/09/just-a-printer/)
- Rapid7. “Xerox VersaLink C7025 MFP 패스백 공격 취약점.” 2025년 2월.
- Canon PSIRT. “레이저 프린터 및 소형 사무실 다기능 프린터에 대한 SMTP/LDAP 패스백에 대한 취약점 완화.” 2025년 5월.
{{#include ../../banners/hacktricks-training.md}}