Entrando por la puerta trasera o pentesting de impresoras y MFP de red / Sudo Null IT News
Introducción
En este artículo abordaremos el análisis de la red. принтеров
/МФУ
en la empresa. Probablemente todos ustedes hayan notado que estos dispositivos están ubicados en casi todas las oficinas y pisos (este último es más peligroso, ya que cualquiera puede acceder a estos dispositivos: un empleado de la empresa, un invitado externo o un contratista).
Muchas empresas no toman los pasos preliminares necesarios para configurar estos dispositivos y estos hosts pueden ser un enlace vulnerable en el perímetro del sistema de información.
Este artículo se presenta únicamente con fines educativos. La comunidad Red Team “GISCYBERTEAM” no se hace responsable de las consecuencias de su uso por parte de terceros.
Acceso
Pasemos a la primera etapa para comprometer nuestros dispositivos: este es el acceso directo a административной панели
. Podemos acceder a él de dos formas:
A través de
беспроводную точку
acceso a la impresora (si está incluido en la funcionalidad)за периметром компании
/в периметре компании
.Mediante conexión directa a la impresora
по витой паре
.
Mediante conexión directa a la impresora mediante par trenzado
Esta opción es más rápida porque no requiere ninguna información de contraseña para ingresar a la misma subred que la impresora.
Simplemente nos conectamos mediante par trenzado y accedemos a la interfaz de la aplicación web.
A través del punto de acceso inalámbrico
No es ningún secreto que todos los fabricantes establecen contraseñas estándar para los componentes de los dispositivos que producen y, con puntos inalámbricos en las impresoras, cada fabricante tiene su propia frase de contraseña. Por ejemplo, muchos fabricantes, por ejemplo. HP
Y Pantum
– 12345678
.
Si las contraseñas estándar no funcionan, puedes probar suerte e interceptar handshake
a través de una solución de software Airgeddon.
Después de interceptar el apretón de manos, intente adivinar la contraseña usando Aircrack-ng
y creado especialmente (a través de crunch
) o diccionarios conocidos.
Imaginemos que recibimos una tarea del Cliente para probar su infraestructura sin acceso al sitio. Pero resulta que muchas imprentas están ubicadas en oficinas en el límite de la zona controlada con el Wi-Fi Direct
y podemos influir en ellos sin entrar en el perímetro del Cliente.
Lanzamos nuestra solución estando en la calle. Airgeddony haga lo siguiente:
Bueno… como puedes ver, hemos recibido la contraseña de WiFi Direct
nuestra impresora de red y podemos conectarnos fácilmente a ella y abrir la interfaz web del panel de administración.
Evite las políticas de contraseñas débiles
El acceso a la configuración de la mayoría de las impresoras multifunción se proporciona a través de la interfaz web.
De forma predeterminada, estos formularios de autorización utilizan estándares логины
Y пароли
y en la mayoría de los casos, antes de ponerse en funcionamiento, estas contraseñas no se sustituyen por otras más seguras (más de 10 caracteres, mayúsculas y minúsculas, caracteres especiales).
A continuación se muestran los nombres de usuario y contraseñas de los fabricantes de MFP más comunes:
Más información sobre логинах
Y паролях
Para un modelo específico se puede encontrar en las instrucciones electrónicas en Internet.
Si, como resultado de verificar las cuentas estándar, no funcionan, podemos forzar la contraseña mediante Burp Suite Professional
utilizando diccionarios pregenerados.
Recopilación de información sensible
Luego de acceder al panel de administración y analizar la configuración de nuestro принтеров
/МФУ
es posible identificar direcciones públicas SMB
-ball y disponible mediante autorización anónima FTP
-servidores.
Compromiso de credenciales a través de la configuración LDAP
Como parte de este ataque, consideraremos otro МФУ
– Konica Minolta Bizhub C224
con la capacidad de conectarse a LDAP
-servidor.
Antes de comenzar el ataque, implementemos el controlador de dominio de la organización y creemos una cuenta de dominio en él. share_printer
Y Ivanov_I
.
Y así tenemos: AD
-servidor por dirección 192.168.1.114
e impresora en 192.168.1.119
. Según la leyenda, ya hemos obtenido acceso a la interfaz web. МФУ
Usando cualquiera de los métodos descritos anteriormente, ahora podemos comenzar el ataque…
Comprometer una cuenta para conectarse a un servidor LDAP
Vayamos a la configuración de integración con LDAP
-servidor (Network
-> LDAP Settings
-> Setting UP LDAP
) y verifique la conexión.
La configuración de este perfil se ve así:
Reemplace el original IP
-dirección a la nuestra- 192.168.1.52
donde desplegaremos el falso LDAP
– servidor.
Ejecutémoslo en nuestro host. Metasploit Framework
y seleccione el módulo de simulación de servicio LDAP
para recopilar información de autenticación de un cliente que intenta autenticarse en un servicio LDAP
.
┌──(gorillahacker㉿GORILLAHACKER)-(~)
└─$ msfconsole
Metasploit Documentation:
msf6 > auxiliary/server/capture/ldap
msf6 auxiliary(server/capture/ldap) > set srvhost 192.168.1.52
srvhost => 192.168.1.52
msf6 auxiliary(server/capture/ldap) > run
(*) Server started.
Como puede ver, logramos averiguar la contraseña de la cuenta de servicio. share_printer
.
Compromiso de una cuenta de usuario mediante autenticación LDAP
Analicemos un poco nuestro MFP y en el apartado User Auth/Account Track
-> External Server Settings
-> External Server Settings
Busquemos una entrada donde la capacidad de conectarse a través de LDAP
al usuario Ivanov_I
.
También reemplazaremos el original. IP
-dirección a dirección falsa 192.168.1.52
y esperar a que el usuario se conecte a la interfaz web de nuestro panel administrativo.
Como puede ver a continuación, logramos interceptar con éxito las cuentas de nuestros usuarios.
Compromiso de una cuenta de correo a través de la configuración SMTP
Volvamos a nuestra impresora. Pantum M6550NW
y abra la configuración de entrada de la impresora en SMTP
– servidor.
Como vemos en nuestro принтере
La autorización en este servidor está preconfigurada, pero, desafortunadamente, no podemos ver la información de la contraseña, ya que está oculta para nosotros.
Pero intentemos averiguarlo. Para hacer esto, realice los siguientes pasos:
cambiemos la direccion SMTP
-servidores al nuestro- 192.168.223.101
.
Enviemos un mensaje de prueba a nuestra dirección.
Como puedes ver, nuestra contraseña estaba iluminada en uno de los campos interceptados (aunque no está en el lugar correcto =)).
Así nos comprometimos почтовую учетную запись
y en el futuro podremos usarlo para:
compromiso de la red (si aún es posible conectarse);
enriquecer nuestro vocabulario sobre fuerza bruta y fumigación;
examinar todas las cartas en un buzón determinado para detectar riesgos de activos de infraestructura.
Conclusión
En nuestro artículo, analizamos opciones de compromiso. принтеров
Y МФУ
así como posibles vectores de ataque para estos dispositivos. La información obtenida como parte de esta actividad se puede utilizar para comprometer aún más la infraestructura probada.