Вход в заднюю дверь или пентест сетевых принтеров и МФУ
Введение
В данной статье мы с вами затронем анализ сетевых принтеров
/МФУ
в компании. Каждый из Вас наверное замечал, что данные устройства стоят почти в каждом кабинете и этаже (последнее более опасно, так как доступ к данным устройствам может получить любой человек: сотрудник компании, внешний гость или подрядная организация).
Многие компании не выполняют необходимые мероприятия по предварительной до настройке данных устройств, а данные хосты могут быть уязвимым звеном в периметре информационной системы.
Данная статья представлена исключительно в образовательных целях. Red Team сообщество "GISCYBERTEAM" не несёт ответственности за любые последствия ее использования третьими лицами.
Доступ
Приступим к первому этапу компрометации наших устройств - это непосредственный доступ к административной панели
. Доступ к ней мы можем получить двумя способами:
- Через
беспроводную точку
доступа на принтере (если включена в функционал)за периметром компании
/в периметре компании
. - Через непосредственное подключению к принтеру
по витой паре
.
Через непосредственное подключение к принтеру по витой паре
Данный вариант более быстрый так как не требует никакой парольной информации чтобы попасть в одну подсеть с принтером.
Мы просто подключаемся через витую пару и получаем доступ к интерфейсу веб-приложения.
Через беспроводную точку доступа
Ни для кого не секрет, что все производители устанавливают стандартные пароли на свои компоненты производимых устройств, так и с беспроводными точками на самих принтерах, у каждого производителя своя парольная фраза. К примеру у многих производтелей, например HP
и Pantum
- 12345678
.
Если стандартные пароли не подошли можно попытать судьбу и перехватить handshake
через программное решение Airgeddon.
После перехвата рукопожатия попытаться подобрать пароль через Aircrack-ng
и специально созданные (через crunch
) или общеизвестные словари.
Давайте представим, что нам поступила задача от Заказчика протестировать его инфраструктуру без доступа на объект. Но как оказывается многие принтеры стоят в кабинетах на границе контролируемой зоны с включенным Wi-Fi Direct
и мы можем на них воздействовать не заходя на периметр Заказчика.
Запустим, находясь на улице, наше решение Airgeddon, и сделаем следующие действия:
Ну что же... как видим мы получили пароль от WiFi Direct
нашего сетевого принтера и можем спокойно к нему подключиться и открыть web-интерфейс админпанели.
Обход слабых парольных политик
Доступ к настройкам большинства МФУ предоставляется через веб-интерфейс.
По умолчнию в данных формах авторизации используются стандартные логины
и пароли
и в большинстве случаев перед вводом в эксплутацию данные пароли не заменяют на более надежные (более 10 символов, верхний и нижний регистр, спецсимволы).
Ниже приведены логины и пароли от на более распространенных производителе МФУ:
- Pantum
admin
000000
- Epson
epson
epson
- Epson
EPSONWEB
admin
- Canon
ADMIN
canon
- Kyocera
Admin
Admin
- Xerox
Admin
1111
- Brother
admin
access
- HP
admin
admin
илиblank
Более подробную информацию о логинах
и паролях
по определенной модели можно найти в электронной инструкции в сети Интернет.
Если в результате проверки стандартных учетных записей они не подошли мы можем выполнить брутфорс пароля через Burp Suite Professional
по заранее сгенерированным словарям.
Сбор чувствительной информации
После получения доступа в админпанель и анализа конфигурации наших принтеров
/МФУ
можно выявить адреса публичных SMB
-шар и доступных по анонимной авторизации FTP
-серверов.
Компрометация учетных данных через конфигурацию LDAP
В рамках данной атаки мы с вами рассмотрим другое МФУ
- Konica Minolta Bizhub C224
с возможностью подключения к LDAP
-серверу.
Перед началом атаки развернем контроллер домена организации и создадим на нем доменную учетную запись share_printer
и Ivanov_I
.
И так, у нас имеется: AD
-сервер по адресу 192.168.1.114
и принтер по адресу 192.168.1.119
. По легенде мы уже получили доступ к веб-интерфейсу МФУ
любым из описанных способов выше, теперь можем приступать к атаке...
Компрометация учетной записи для подключения к LDAP-серверу
Зайдем в настройки интеграции с LDAP
-сервером (Network
-> LDAP Settings
-> Setting UP LDAP
) и проверим подключение.
Настроки данного профиля выглядят следующим образом:
Заменим исходный IP
-адрес на наш - 192.168.1.52
,где развернем поддельный LDAP
-сервер.
Запустим на нашем хосте Metasploit Framework
и выберем модуль имитации службы LDAP
для сбора аутентификационной информации клиента, пытающегося пройти аутентификацию в службе LDAP
.
┌──(gorillahacker㉿GORILLAHACKER)-[~] └─$ msfconsole Metasploit Documentation: https://docs.metasploit.com/ msf6 > auxiliary/server/capture/ldap msf6 auxiliary(server/capture/ldap) > set srvhost 192.168.1.52 srvhost => 192.168.1.52 msf6 auxiliary(server/capture/ldap) > run [*] Server started.
Как видим у нас получилось узнать пароль от сервисной учетной записи share_printer
.
Компрометация учетной записи пользователя, использующего авторизацию по LDAP
Немного проанализируем наше МФУ и в разделе User Auth/Account Track
-> External Server Settings
-> External Server Settings
найдем запись, где указана возможность подключения по LDAP
пользователю Ivanov_I
.
Заменим также исходный IP
-адрес на поддельный адрес 192.168.1.52
и дождемся попытки подключения пользователя в веб-интерфейс нашей административной панели.
Как видно ниже нам успешно удалось перехватить учетные записи нашего пользователя.
Компрометация почтовой учетной записи через конфигурацию SMTP
Вернемся к нашему принтеру Pantum M6550NW
и откроем настройки входа принтера на SMTP
-сервер.
Как видим на нашем принтере
предварительно настроена авторизация на данном сервере, но, к сожалению, посмотреть парольную информацию мы не можем, так как она скрыта от нас.
Но давайте попробуем ее узнать. Для этого выполним следующие действия:
Изменим адрес SMTP
-сервера на наш - 192.168.223.101
.
Отправим тестовое сообщение на наш адрес.
Как видим в одном из перехваченном поле засветился наш пароль (хоть и стоит не там где надо=)).
Таким образом мы скомпрометировали почтовую учетную запись
, и в дальнейшем можем использовать ее для:
- компрометации сети (если с нее все таки есть возможность подключения);
- обогащения нашего словаря для брутфорса и спреинга;
- изучения всех писем в данном почтовом ящике на предмет компрометации активов инфраструктуры.
Заключение
В нашей статье мы с Вами рассмотрели варианты компрометации принтеров
и МФУ
, а также возможные векторы атак на данные устройства. Полученную информацию в рамках данной активности можно использовать для дальнейшей компрометации тестируемой инфраструктуры.