Вход в заднюю дверь или пентест сетевых принтеров и МФУ

Введение

В данной статье мы с вами затронем анализ сетевых принтеров/МФУ в компании. Каждый из Вас наверное замечал, что данные устройства стоят почти в каждом кабинете и этаже (последнее более опасно, так как доступ к данным устройствам может получить любой человек: сотрудник компании, внешний гость или подрядная организация).

Многие компании не выполняют необходимые мероприятия по предварительной донастройке данных устройств, а данные хосты могуть уязвимым звеном в периметре информационной системы.

Данная статья представлена исключительно в образовательных целях. Red Team сообщество «GISCYBERTEAM» не несёт ответственности за любые последствия ее использования третьими лицами.

Доступ

Приступим к первому этапу компромитации наших устройств — это непосредственный доступ к административной панели. Доступ к ней мы можем получить двумя способами:

  • Через беспроводную точку доступа на принтере (если включена в функционал) за периметром компании/в периметре компании.

  • Через непосредственное подключению к принтеру по витой паре.

Через непосредственное подключение к принтеру по витой паре

Данный вариант более быстрый так как не требует никакой парольной информации чтобы попасть в одну подсеть с принтером.

Мы просто подключаемся через витую пару и получаем доступ к интерфейсу веб-приложения.

Через беспроводную точку доступа

Ни для кого не секрет, что все производители устанавливают стандартные пароли на свои компоненты производимых устройств, так и с беспроводными точками на самих принтерах, у каждого производителя своя парольная фраза. К примеру у многих производтелей, например HP и Pantum — 12345678.

Если стандартные пароли не подошли можно попытать судьбу и перехватить handshake через программное решение Airgeddon.

Пример запуска захвата handshake

Пример запуска захвата handshake

После перехвата рукопожатия попытаться подобрать пароль через Aircrack-ng и специально созданные (через crunch) или общеизвестные словари.

Давайте представим, что нам поступила задача от Заказчика протестировать его инфраструктуру без доступа на объект. Но как оказывается многие принтеры стоят в кабинетах на границе контролируемой зоны с включенным Wi-Fi Direct и мы можем на них воздействовать не заходя на периметр Заказчика.

Запустим, находясь на улице, наше решение Airgeddon, и сделаем следующие действия:

Перевод интерфейса в режим монитора

Перевод интерфейса в режим монитора

Меню инструментов для работы с handshake/PMKID

Меню инструментов для работы с handshake/PMKID

Поиск цели

Поиск цели

Успешный захват handshake

Успешный захват handshake

Путь до cap-файла

Путь до cap-файла

Подбор пароля

Подбор пароля

Ну что же… как видим мы получили пароль от WiFi Direct нашего сетевого принтера и можем спокойно к нему подключиться и открыть web-интерфейс админпанели.

3970013860796817c63ef6ca1722ec0c.png

Обход слабых парольных политик

Доступ к настройкам большинства МФУ предоставляется через веб-интерфейс.

Пример страницы авторизации

Пример страницы авторизации

По умолчнию в данных формах авторизации используются стандартные логины и пароли и в большинстве случаев перед вводом в эксплутацию данные пароли не заменяют на более надежные (более 10 символов, верхний и нижний регистр, спецсимволы).

Ниже приведены логины и пароли от наболее распространенных производителе МФУ:

Более подробную информацию о логинах и паролях по определенной модели можно найти в электронной инструкции в сети Интернет.

Если в результате проверки стандартных учетных записей они не подошли мы можем выполнить брутфорс пароля через Burp Suite Professional по заранее сгенерированным словарям.

Брутфорс пароля от администратора

Брутфорс пароля от администратора

Сбор чувствительной информации

После получения доступа в админпанель и анализа конфигурации наших принтеров/МФУ можно выявить адреса публичных SMB-шар и доступных по анонимной авторизации FTP-серверов.

Компромитация учетных данных через конфигурацию LDAP

В рамках данной атаки мы с вами рассмотрим другое МФУ — Konica Minolta Bizhub C224 с возможностью подключения к LDAP-серверу.

Контроллер домена с созданными УЗ

Контроллер домена с созданными УЗ

Перед началом атаки развернем контроллер домена организации и создадим на нем доменную учетную запись share_printer и Ivanov_I.

И так, у нас имеется: AD-сервер по адресу 192.168.1.114 и принтер по адресу 192.168.1.11. По легенде мы уже получили доступ к веб-интерфейсу МФУ любым из описанных способов выше, теперь можем приступать к атаке…

Компромитация учетной записи для подключения к LDAP-серверу

Зайдем в настройки интеграции с LDAP-сервером (NetworkLDAP SettingsSetting UP LDAP) и проверим подключение.

Конфигурация интеграции с LDAP-сервером

Конфигурация интеграции с LDAP-сервером

Успешная проверка подключения к LDAP-серверу

Успешная проверка подключения к LDAP-серверу

Настроки данного профиля выглядят следующим образом:

Настройки профиля GISCYBERTEAM

Настройки профиля GISCYBERTEAM

Заменим исходный IP-адрес на наш — 192.168.1.52, где развернем поддельный LDAP-сервер.

Измененные настройки профиля GISCYBERTEAM

Измененные настройки профиля GISCYBERTEAM

Запустим на нашем хосте Metasploit Framework и выберем модуль имитации службы LDAP для сбора аутентификационной информации клиента, пытающегося пройти аутентификацию в службе LDAP.

┌──(gorillahacker㉿GORILLAHACKER)-[~]
└─$ msfconsole

Metasploit Documentation: https://docs.metasploit.com/

msf6 > auxiliary/server/capture/ldap
msf6 auxiliary(server/capture/ldap) > set srvhost 192.168.1.52
srvhost => 192.168.1.52
msf6 auxiliary(server/capture/ldap) > run
[*] Server started.

Результат перехвата логина и пароля для подключения к LDAP-серверу

Результат перехвата логина и пароля для подключения к LDAP-серверу

Как видим у нас получилось узнать пароль от сервисной учетной записи share_printer.

Компромитация учетной записи пользователя, использующего авторизацию по LDAP

Немного проанализируем наше МФУ и в разделе User Auth/Account TrackExternal Server SettingsExternal Server Settings найдем запись, где указана возможность подключения по LDAP пользователю Ivanov_I.

Запись на подключение по LDAP

Запись на подключение по LDAP

Заменим также исходный IP-адрес на поддельный адрес 192.168.1.52 и дождемся попытки подключения пользователя в веб-интерфейс нашей административной панели.

Подключение пользователя Ivanov_I через LDAP

Подключение пользователя Ivanov_I через LDAP

Как видно ниже нам успешно удалось перехватить учетные записи нашего пользователя.

Результат перехвата логина и пароля пользователя по авторизации через LDAP

Результат перехвата логина и пароля пользователя по авторизации через LDAP

Компромитация почтовой учетной записи через конфигурацию SMTP

Вернемся к нашему принтеру Pantum M6550NW и откроем настройки входа принтера на SMTP-сервер.

22acb38446662584aaabf03232d1840b.png

Как видим на нашем принтере предварительно настроена авторизация на данном сервере, но, к сожалению, посмотреть парольную информацию мы не можем, так как она скрыта от нас.

Но давайте попробуем ее узнать. Для этого выполним следующие действия:

ac1ff4f74a8786dbc6f8214f4bbaec22.png

Изменим адрес SMTP-сервера на наш — 192.168.223.101.

96ae50d3a8798549f62bca3fbb2de024.png

Отправим тестовое сообщение на наш адрес.

e7cd6337fff1f9a82d07e714a3c52780.png30b6cd2c266bd0d265aa911c06de1c04.png

Как видим в одном из перехваченном поле засветился наш пароль (хоть и стоит не там где надо=)).

Таким образом мы скомрометировали почтовую учетную запись, и в дальнейшем можем использовать ее для:

  • компрометации сети (если с нее все таки есть возможность подключения);

  • обогащения нашего словаря для брутфорса и спреинга;

  • изучения всех писем в данном почтовом ящике на предмет компромитации активов инфраструктуры.

Заключение

В нашей статье мы с Вами рассмотрели варианты компромитации принтеров и МФУ, а также возможные векторы атак на данные устройства. Полученную информацию в рамках данной активности можно использовать для дальнейшей компромитации тестируемой инфраструктуры.

Подписывайтесь на наш Telegram-канал https://t.me/giscyberteam

© Habrahabr.ru