maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/windows-hardening/active-directory-methodology/ad-infor

Browse Source
This commit is contained in:
Translator 2025-07-15 14:09:49 +00:00
parent 4a531c07db
commit f3c6c71146
1 changed files with 77 additions and 25 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

102
src/windows-hardening/active-directory-methodology/ad-information-in-printers.md
View File

@ -1,52 +1,104 @@
# Інформація в принтерах
{{#include ../../banners/hacktricks-training.md}}
В Інтернеті є кілька блогів, які **підкреслюють небезпеки залишення принтерів, налаштованих з LDAP з за замовчуванням/слабкими** обліковими даними для входу.\
Це пов'язано з тим, що зловмисник може **ввести принтер в оману, щоб аутентифікуватися проти підробленого LDAP-сервера** (зазвичай `nc -vv -l -p 444` достатньо) і захопити **облікові дані принтера у відкритому тексті**.
В Інтернеті є кілька блогів, які **підкреслюють небезпеки залишення принтерів, налаштованих з LDAP з за замовчуванням/слабкими** обліковими даними для входу. \
Це пов'язано з тим, що зловмисник може **змусити принтер аутентифікуватися проти підробленого LDAP-сервера** (зазвичай `nc -vv -l -p 389` або `slapd -d 2` достатньо) і захопити **облікові дані принтера у відкритому вигляді**.
Крім того, кілька принтерів міститимуть **журнали з іменами користувачів** або навіть можуть **завантажити всі імена користувачів** з контролера домену.
Вся ця **чутлива інформація** та загальна **відсутність безпеки** роблять принтери дуже цікавими для зловмисників.
Деякі блоги на цю тему:
Декілька вступних блогів на цю тему:
- [https://www.ceos3c.com/hacking/obtaining-domain-credentials-printer-netcat/](https://www.ceos3c.com/hacking/obtaining-domain-credentials-printer-netcat/)
- [https://medium.com/@nickvangilder/exploiting-multifunction-printers-during-a-penetration-test-engagement-28d3840d8856](https://medium.com/@nickvangilder/exploiting-multifunction-printers-during-a-penetration-test-engagement-28d3840d8856)
---
## Налаштування принтера
- **Місцезнаходження**: Список LDAP-серверів знаходиться за адресою: `Network > LDAP Setting > Setting Up LDAP`.
- **Поведение**: Інтерфейс дозволяє змінювати LDAP-сервери без повторного введення облікових даних, що спрямоване на зручність для користувача, але створює ризики безпеки.
- **Експлуатація**: Експлуатація полягає в перенаправленні адреси LDAP-сервера на контрольовану машину та використанні функції "Перевірити з'єднання" для захоплення облікових даних.
- **Місцезнаходження**: Список LDAP-серверів зазвичай знаходиться в веб-інтерфейсі (наприклад, *Мережа ➜ Налаштування LDAP ➜ Налаштування LDAP*).
- **Поведение**: Багато вбудованих веб-серверів дозволяють модифікацію LDAP-сервера **без повторного введення облікових даних** (функція зручності → ризик безпеки).
- **Експлуатація**: Перенаправте адресу LDAP-сервера на хост, контрольований зловмисником, і використовуйте кнопку *Тестування з'єднання* / *Синхронізація адресної книги*, щоб змусити принтер підключитися до вас.
---
## Захоплення облікових даних
**Для більш детальних кроків зверніться до оригінального [джерела](https://grimhacker.com/2018/03/09/just-a-printer/).**
### Метод 1: Слухач Netcat
Простий слухач netcat може бути достатнім:
### Метод 1 Слухач Netcat
```bash
sudo nc -k -v -l -p 386
sudo nc -k -v -l -p 389 # LDAPS → 636 (or 3269)
```
Однак успіх цього методу варіюється.
Малі/старі МФП можуть надсилати простий *simple-bind* у відкритому тексті, який може захопити netcat. Сучасні пристрої зазвичай спочатку виконують анонімний запит, а потім намагаються виконати прив'язку, тому результати варіюються.
### Метод 2: Повний LDAP сервер з Slapd
### Метод 2 Повний Rogue LDAP сервер (рекомендується)
Більш надійний підхід передбачає налаштування повного LDAP сервера, оскільки принтер виконує нульове з'єднання, а потім запит перед спробою прив'язки облікових даних.
1. **Налаштування LDAP сервера**: Посібник слідує крокам з [this source](https://www.server-world.info/en/note?os=Fedora_26&p=openldap).
2. **Ключові кроки**:
- Встановіть OpenLDAP.
- Налаштуйте пароль адміністратора.
- Імпортуйте базові схеми.
- Встановіть доменне ім'я на LDAP БД.
- Налаштуйте LDAP TLS.
3. **Виконання служби LDAP**: Після налаштування службу LDAP можна запустити за допомогою:
Оскільки багато пристроїв виконують анонімний пошук *перед* автентифікацією, налаштування реального LDAP демона дає набагато надійніші результати:
```bash
slapd -d 2
# Debian/Ubuntu example
sudo apt install slapd ldap-utils
sudo dpkg-reconfigure slapd # set any base-DN it will not be validated
# run slapd in foreground / debug 2
slapd -d 2 -h "ldap:///" # only LDAP, no LDAPS
```
Коли принтер виконує свій запит, ви побачите облікові дані у відкритому тексті в виході налагодження.
> 💡 Ви також можете використовувати `impacket/examples/ldapd.py` (Python rogue LDAP) або `Responder -w -r -f` для збору NTLMv2 хешів через LDAP/SMB.
---
## Останні вразливості Pass-Back (2024-2025)
Pass-back *не* є теоретичною проблемою постачальники продовжують публікувати повідомлення у 2024/2025, які точно описують цей клас атак.
### Xerox VersaLink CVE-2024-12510 & CVE-2024-12511
Прошивка ≤ 57.69.91 принтерів Xerox VersaLink C70xx MFP дозволяла автентифікованому адміністратору (або будь-кому, коли залишаються стандартні облікові дані):
* **CVE-2024-12510 LDAP pass-back**: змінити адресу LDAP сервера та ініціювати запит, що призводить до витоку налаштованих облікових даних Windows на хост, контрольований зловмисником.
* **CVE-2024-12511 SMB/FTP pass-back**: ідентична проблема через *scan-to-folder* призначення, витікаючи NetNTLMv2 або FTP облікові дані у відкритому тексті.
Простий слухач, такий як:
```bash
sudo nc -k -v -l -p 389 # capture LDAP bind
```
or rogue SMB server (`impacket-smbserver`) достатньо для збору облікових даних.
### Canon imageRUNNER / imageCLASS Повідомлення 20 травня 2025
Canon підтвердила слабкість **SMTP/LDAP pass-back** у десятках продуктів Laser & MFP. Зловмисник з адміністративним доступом може змінити конфігурацію сервера та отримати збережені облікові дані для LDAP **або** SMTP (багато організацій використовують привілейований обліковий запис для дозволу сканування на електронну пошту).
Рекомендації постачальника чітко вказують:
1. Оновити до виправленого програмного забезпечення, як тільки воно стане доступним.
2. Використовувати сильні, унікальні паролі адміністратора.
3. Уникати привілейованих облікових записів AD для інтеграції принтерів.
---
## Автоматизовані інструменти для перерахунку / експлуатації
| Інструмент | Призначення | Приклад |
|------------|-------------|---------|
| **PRET** (Printer Exploitation Toolkit) | Зловживання PostScript/PJL/PCL, доступ до файлової системи, перевірка стандартних облікових даних, *SNMP discovery* | `python pret.py 192.168.1.50 pjl` |
| **Praeda** | Збір конфігурації (включаючи адресні книги та облікові дані LDAP) через HTTP/HTTPS | `perl praeda.pl -t 192.168.1.50` |
| **Responder / ntlmrelayx** | Захоплення та реле NetNTLM хешів з SMB/FTP pass-back | `responder -I eth0 -wrf` |
| **impacket-ldapd.py** | Легкий підроблений LDAP сервіс для отримання зв'язків у відкритому тексті | `python ldapd.py -debug` |
---
## Укріплення та виявлення
1. **Виправлення / оновлення прошивки** MFP негайно (перевірте бюлетені PSIRT постачальника).
2. **Облікові записи служб з найменшими привілеями** ніколи не використовуйте Domain Admin для LDAP/SMB/SMTP; обмежте до *тільки для читання* OU обсягів.
3. **Обмежити доступ до управління** розмістіть веб/IPP/SNMP інтерфейси принтера в управлінському VLAN або за ACL/VPN.
4. **Вимкнути невикористовувані протоколи** FTP, Telnet, raw-9100, старі SSL шифри.
5. **Увімкнути журналювання аудиту** деякі пристрої можуть syslog LDAP/SMTP збої; корелюйте несподівані зв'язки.
6. **Моніторинг зв'язків LDAP у відкритому тексті** з незвичних джерел (принтери зазвичай повинні спілкуватися лише з DC).
7. **SNMPv3 або вимкнути SNMP** спільнота `public` часто витікає конфігурацію пристрою та LDAP.
---
## Посилання
- [https://grimhacker.com/2018/03/09/just-a-printer/](https://grimhacker.com/2018/03/09/just-a-printer/)
- Rapid7. “Xerox VersaLink C7025 MFP Pass-Back Attack Vulnerabilities.” Лютий 2025.
- Canon PSIRT. “Зменшення вразливостей проти SMTP/LDAP Passback для лазерних принтерів та багатофункціональних принтерів для малих офісів.” Травень 2025.
{{#include ../../banners/hacktricks-training.md}}