maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity
hacktricks/src/windows-hardening/active-directory-methodology/ad-information-in-printers.md

105 lines
6.6 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# 프린터의 정보
{{#include ../../banners/hacktricks-training.md}}
인터넷에는 **기본/약한** 로그인 자격 증명으로 LDAP에 구성된 프린터의 위험성을 **강조하는 여러 블로그**가 있습니다. \
이는 공격자가 프린터를 **악성 LDAP 서버에 인증하도록 속일 수 있기 때문입니다** (일반적으로 `nc -vv -l -p 389` 또는 `slapd -d 2`면 충분합니다) 그리고 프린터의 **자격 증명을 평문으로 캡처할 수 있습니다**.
또한, 여러 프린터는 **사용자 이름이 포함된 로그**를 포함하거나 도메인 컨트롤러에서 **모든 사용자 이름을 다운로드할 수** 있습니다.
이 모든 **민감한 정보**와 일반적인 **보안 부족**은 프린터를 공격자에게 매우 흥미롭게 만듭니다.
주제에 대한 몇 가지 소개 블로그:
- [https://www.ceos3c.com/hacking/obtaining-domain-credentials-printer-netcat/](https://www.ceos3c.com/hacking/obtaining-domain-credentials-printer-netcat/)
- [https://medium.com/@nickvangilder/exploiting-multifunction-printers-during-a-penetration-test-engagement-28d3840d8856](https://medium.com/@nickvangilder/exploiting-multifunction-printers-during-a-penetration-test-engagement-28d3840d8856)
---
## 프린터 구성
- **위치**: LDAP 서버 목록은 일반적으로 웹 인터페이스에서 찾을 수 있습니다 (예: *Network ➜ LDAP Setting ➜ Setting Up LDAP*).
- **동작**: 많은 임베디드 웹 서버는 **자격 증명을 다시 입력하지 않고도 LDAP 서버 수정을 허용합니다** (사용성 기능 → 보안 위험).
- **악용**: LDAP 서버 주소를 공격자가 제어하는 호스트로 리디렉션하고 *Test Connection* / *Address Book Sync* 버튼을 사용하여 프린터가 당신에게 바인딩하도록 강제합니다.
---
## 자격 증명 캡처
### 방법 1 넷캣 리스너
```bash
sudo nc -k -v -l -p 389 # LDAPS → 636 (or 3269)
```
작고 오래된 MFP는 netcat이 캡처할 수 있는 간단한 *simple-bind*를 평문으로 전송할 수 있습니다. 현대 장치는 일반적으로 인증하기 전에 익명 쿼리를 수행하므로 결과는 다를 수 있습니다.
### 방법 2 전체 악성 LDAP 서버 (권장)
많은 장치가 인증하기 *전에* 익명 검색을 수행하기 때문에 실제 LDAP 데몬을 설정하면 훨씬 더 신뢰할 수 있는 결과를 얻을 수 있습니다:
```bash
# Debian/Ubuntu example
sudo apt install slapd ldap-utils
sudo dpkg-reconfigure slapd # set any base-DN it will not be validated
# run slapd in foreground / debug 2
slapd -d 2 -h "ldap:///" # only LDAP, no LDAPS
```
프린터가 조회를 수행할 때 디버그 출력에서 평문 자격 증명을 볼 수 있습니다.
> 💡 `impacket/examples/ldapd.py` (Python rogue LDAP) 또는 `Responder -w -r -f`를 사용하여 LDAP/SMB를 통해 NTLMv2 해시를 수집할 수 있습니다.
---
## 최근 패스백 취약점 (2024-2025)
패스백은 *이론적인 문제*가 아닙니다 공급업체들은 2024/2025년에 이 공격 클래스를 정확히 설명하는 권고를 계속 발표하고 있습니다.
### Xerox VersaLink CVE-2024-12510 & CVE-2024-12511
Xerox VersaLink C70xx MFP의 펌웨어 ≤ 57.69.91는 인증된 관리자(또는 기본 자격 증명이 남아 있는 경우 누구나)가 다음을 수행할 수 있게 했습니다:
* **CVE-2024-12510 LDAP 패스백**: LDAP 서버 주소를 변경하고 조회를 트리거하여 장치가 구성된 Windows 자격 증명을 공격자가 제어하는 호스트로 유출하게 합니다.
* **CVE-2024-12511 SMB/FTP 패스백**: *폴더로 스캔* 목적지를 통해 동일한 문제로 NetNTLMv2 또는 FTP 평문 자격 증명을 유출합니다.
간단한 리스너는 다음과 같습니다:
```bash
sudo nc -k -v -l -p 389 # capture LDAP bind
```
or a rogue SMB server (`impacket-smbserver`)는 자격 증명을 수집하기에 충분합니다.
### Canon imageRUNNER / imageCLASS 권고 2025년 5월 20일
Canon은 수십 개의 레이저 및 MFP 제품군에서 **SMTP/LDAP 패스백** 취약점을 확인했습니다. 관리 액세스 권한이 있는 공격자는 서버 구성을 수정하고 LDAP **또는** SMTP에 저장된 자격 증명을 검색할 수 있습니다 (많은 조직이 스캔-투-메일을 허용하기 위해 특권 계정을 사용합니다).
제조업체의 지침은 다음과 같이 명시적으로 권장합니다:
1. 가능한 한 빨리 패치된 펌웨어로 업데이트합니다.
2. 강력하고 고유한 관리자 비밀번호를 사용합니다.
3. 프린터 통합을 위해 특권 AD 계정을 피합니다.
---
## 자동화된 열거 / 악용 도구
| 도구 | 목적 | 예시 |
|------|---------|---------|
| **PRET** (Printer Exploitation Toolkit) | PostScript/PJL/PCL 남용, 파일 시스템 접근, 기본 자격 증명 확인, *SNMP 발견* | `python pret.py 192.168.1.50 pjl` |
| **Praeda** | HTTP/HTTPS를 통해 구성 수집 (주소록 및 LDAP 자격 증명 포함) | `perl praeda.pl -t 192.168.1.50` |
| **Responder / ntlmrelayx** | SMB/FTP 패스백에서 NetNTLM 해시 캡처 및 중계 | `responder -I eth0 -wrf` |
| **impacket-ldapd.py** | 클리어 텍스트 바인드를 수신하기 위한 경량의 악성 LDAP 서비스 | `python ldapd.py -debug` |
---
## 강화 및 탐지
1. **패치 / 펌웨어 업데이트** MFP를 신속하게 수행합니다 (제조업체 PSIRT 공지를 확인하십시오).
2. **최소 권한 서비스 계정** LDAP/SMB/SMTP에 도메인 관리자를 사용하지 마십시오; *읽기 전용* OU 범위로 제한합니다.
3. **관리 액세스 제한** 프린터 웹/IPP/SNMP 인터페이스를 관리 VLAN에 배치하거나 ACL/VPN 뒤에 두십시오.
4. **사용하지 않는 프로토콜 비활성화** FTP, Telnet, raw-9100, 구형 SSL 암호.
5. **감사 로깅 활성화** 일부 장치는 LDAP/SMTP 실패를 syslog할 수 있습니다; 예상치 못한 바인드를 상관관계합니다.
6. **비정상적인 출처에서 클리어 텍스트 LDAP 바인드 모니터링** (프린터는 일반적으로 DC와만 통신해야 합니다).
7. **SNMPv3 또는 SNMP 비활성화** 커뮤니티 `public`은 종종 장치 및 LDAP 구성을 유출합니다.
---
## 참고 문헌
- [https://grimhacker.com/2018/03/09/just-a-printer/](https://grimhacker.com/2018/03/09/just-a-printer/)
- Rapid7. “Xerox VersaLink C7025 MFP 패스백 공격 취약점.” 2025년 2월.
- Canon PSIRT. “레이저 프린터 및 소형 사무실 다기능 프린터에 대한 SMTP/LDAP 패스백에 대한 취약점 완화.” 2025년 5월.
{{#include ../../banners/hacktricks-training.md}}
Reference in New Issue View Git Blame Copy Permalink