maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity
hacktricks/src/windows-hardening/active-directory-methodology/ad-information-in-printers.md

105 lines
6.7 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Yazıcılarındaki Bilgiler
{{#include ../../banners/hacktricks-training.md}}
İnternette, **varsayılan/zayıf** oturum açma kimlik bilgileriyle yapılandırılmış yazıcıların tehlikelerini **vurgulayan** birkaç blog bulunmaktadır. \
Bunun nedeni, bir saldırganın yazıcıyı **sahte bir LDAP sunucusuna kimlik doğrulaması yapmaya kandırabilmesidir** (genellikle bir `nc -vv -l -p 389` veya `slapd -d 2` yeterlidir) ve yazıcının **kimlik bilgilerini düz metin olarak** yakalayabilmesidir.
Ayrıca, birçok yazıcı **kullanıcı adlarıyla günlükler** içerecek veya hatta **Tüm kullanıcı adlarını** Alan Denetleyicisinden indirebilecek yeteneğe sahip olabilir.
Tüm bu **hassas bilgiler** ve yaygın **güvenlik eksiklikleri**, yazıcıları saldırganlar için çok ilginç hale getiriyor.
Konu hakkında bazı tanıtıcı bloglar:
- [https://www.ceos3c.com/hacking/obtaining-domain-credentials-printer-netcat/](https://www.ceos3c.com/hacking/obtaining-domain-credentials-printer-netcat/)
- [https://medium.com/@nickvangilder/exploiting-multifunction-printers-during-a-penetration-test-engagement-28d3840d8856](https://medium.com/@nickvangilder/exploiting-multifunction-printers-during-a-penetration-test-engagement-28d3840d8856)
---
## Yazıcı Yapılandırması
- **Konum**: LDAP sunucu listesi genellikle web arayüzünde bulunur (örneğin, *Ağ ➜ LDAP Ayarı ➜ LDAP Kurulumu*).
- **Davranış**: Birçok gömülü web sunucusu, kimlik bilgilerini yeniden girmeden LDAP sunucu değişikliklerine **izin verir** (kullanılabilirlik özelliği → güvenlik riski).
- **Sömürü**: LDAP sunucu adresini saldırganın kontrolündeki bir ana bilgisayara yönlendirin ve yazıcının size bağlanmasını sağlamak için *Bağlantıyı Test Et* / *Adres Defteri Senkronizasyonu* düğmesini kullanın.
---
## Kimlik Bilgilerini Yakalama
### Yöntem 1 Netcat Dinleyici
```bash
sudo nc -k -v -l -p 389 # LDAPS → 636 (or 3269)
```
Küçük/eski MFP'ler, netcat'in yakalayabileceği basit bir *simple-bind*ık metin olarak gönderebilir. Modern cihazlar genellikle önce anonim bir sorgu yapar ve ardından bind denemesi yapar, bu nedenle sonuçlar değişkenlik gösterir.
### Yöntem 2 Tam Rogue LDAP sunucusu (önerilir)
Birçok cihaz, kimlik doğrulamadan *önce* anonim bir arama yapacağından, gerçek bir LDAP daemon'u kurmak çok daha güvenilir sonuçlar verir:
```bash
# Debian/Ubuntu example
sudo apt install slapd ldap-utils
sudo dpkg-reconfigure slapd # set any base-DN it will not be validated
# run slapd in foreground / debug 2
slapd -d 2 -h "ldap:///" # only LDAP, no LDAPS
```
Yazıcı arama işlemini gerçekleştirdiğinde, hata ayıklama çıktısında açık metin kimlik bilgilerini göreceksiniz.
> 💡 Ayrıca `impacket/examples/ldapd.py` (Python rogue LDAP) veya `Responder -w -r -f` kullanarak LDAP/SMB üzerinden NTLMv2 hash'lerini toplayabilirsiniz.
---
## Son Geçiş Geri Dönüş Açıkları (2024-2025)
Geçiş geri dönüşü *teorik* bir sorun değildir satıcılar 2024/2025'te bu saldırı sınıfını tam olarak tanımlayan bildirimler yayınlamaya devam ediyor.
### Xerox VersaLink CVE-2024-12510 & CVE-2024-12511
Xerox VersaLink C70xx MFP'lerin 57.69.91 veya daha düşük yazılımı, kimlik doğrulaması yapılmış bir yöneticinin (veya varsayılan kimlik bilgileri kaldığında herhangi birinin) şunları yapmasına izin verdi:
* **CVE-2024-12510 LDAP geçiş geri dönüşü**: LDAP sunucu adresini değiştirmek ve bir arama tetiklemek, cihazın yapılandırılmış Windows kimlik bilgilerini saldırgan kontrolündeki ana bilgisayara sızdırmasına neden olur.
* **CVE-2024-12511 SMB/FTP geçiş geri dönüşü**: *scan-to-folder* hedefleri aracılığıyla benzer bir sorun, NetNTLMv2 veya FTP açık metin kimlik bilgilerini sızdırır.
Basit bir dinleyici şöyle olabilir:
```bash
sudo nc -k -v -l -p 389 # capture LDAP bind
```
veya bir rogue SMB sunucusu (`impacket-smbserver`) kimlik bilgilerini toplamak için yeterlidir.
### Canon imageRUNNER / imageCLASS Tavsiye 20 Mayıs 2025
Canon, birçok Laser ve MFP ürün serisinde bir **SMTP/LDAP pass-back** zayıflığını doğruladı. Yönetici erişimine sahip bir saldırgan, sunucu yapılandırmasını değiştirebilir ve LDAP **veya** SMTP için saklanan kimlik bilgilerini alabilir (birçok kuruluş, tarama için e-posta göndermeye izin vermek amacıyla ayrıcalıklı bir hesap kullanır).
Satıcı kılavuzu açıkça şunları önermektedir:
1. Mevcut olduğunda yamanmış firmware ile güncelleme yapın.
2. Güçlü, benzersiz yönetici parolaları kullanın.
3. Yazıcı entegrasyonu için ayrıcalıklı AD hesaplarından kaçının.
---
## Otomatik Sayım / Sömürü Araçları
| Araç | Amaç | Örnek |
|------|---------|---------|
| **PRET** (Printer Exploitation Toolkit) | PostScript/PJL/PCL kötüye kullanımı, dosya sistemi erişimi, varsayılan kimlik bilgileri kontrolü, *SNMP keşfi* | `python pret.py 192.168.1.50 pjl` |
| **Praeda** | HTTP/HTTPS üzerinden yapılandırma (adres defterleri ve LDAP kimlik bilgileri dahil) toplama | `perl praeda.pl -t 192.168.1.50` |
| **Responder / ntlmrelayx** | SMB/FTP pass-back'ten NetNTLM hash'lerini yakalama ve iletme | `responder -I eth0 -wrf` |
| **impacket-ldapd.py** | Düz metin bağlamalarını almak için hafif rogue LDAP servisi | `python ldapd.py -debug` |
---
## Güçlendirme & Tespit
1. **Yamanız / firmware güncellemesi** MFP'leri zamanında yapın (satıcı PSIRT bültenlerini kontrol edin).
2. **En Az Ayrıcalık Hizmet Hesapları** LDAP/SMB/SMTP için asla Domain Admin kullanmayın; *salt okunur* OU kapsamları ile sınırlayın.
3. **Yönetim Erişimini Kısıtlayın** yazıcı web/IPP/SNMP arayüzlerini bir yönetim VLAN'ında veya bir ACL/VPN arkasında yerleştirin.
4. **Kullanılmayan Protokolleri Devre Dışı Bırakın** FTP, Telnet, raw-9100, eski SSL şifreleri.
5. **Denetim Günlüğü Oluşturmayı Etkinleştirin** bazı cihazlar LDAP/SMTP hatalarını syslog yapabilir; beklenmeyen bağlamaları ilişkilendirin.
6. **Alışılmadık Kaynaklarda Düz Metin LDAP bağlamalarını İzleyin** (yazıcılar normalde yalnızca DC'lerle iletişim kurmalıdır).
7. **SNMPv3 veya SNMP'yi devre dışı bırakın** topluluk `public` genellikle cihaz ve LDAP yapılandırmasını sızdırır.
---
## Referanslar
- [https://grimhacker.com/2018/03/09/just-a-printer/](https://grimhacker.com/2018/03/09/just-a-printer/)
- Rapid7. “Xerox VersaLink C7025 MFP Pass-Back Attack Vulnerabilities.” Şubat 2025.
- Canon PSIRT. “Lazer Yazıcılar ve Küçük Ofis Çok Fonksiyonlu Yazıcılar için SMTP/LDAP Passback'e Karşı Zayıflık Azaltma.” Mayıs 2025.
{{#include ../../banners/hacktricks-training.md}}
Reference in New Issue View Git Blame Copy Permalink