🖨️Imprimantes

Site

http://hacking-printers.net/

Mindmap

Scan

$ nmap -sV -p 9091, 515, 631, 21, 23, 80, 443 <target IP>

Accès anonymes

Commencer par tester les accès anonymes sur les différents ports disponibles.

Mot de passe par défaut

Puis, essayer de se connecter avec les identifiants fabriquant généralement facilement retrouveable soit directement sur le navigateur soit dans la documentation de l'imprimante.

Exploits

Rechercher des exploits liés à l'imprimante testé.

Lexmark

GitHub - blasty/lexmarkGitHub

LDAP Pass-back attack

Cette attaque vise à tromper l'imprimante afin de la faire se connecter à un serveur non autorisé afin de divulger des informations d'identification ou des hachages réseau stockés pendant que l'appareil tente de s'authentifier auprès du serveur.

Exemple avec une fonctionnalitée permettant de mettre à jour les informations de l'imprimante.

Il est possible d'effecter cette attaque de différentes façons:

Avec un listener netcat

Sur l'interface web, on va indiquer l'adresse IP de notre machine attaquant puis lancer un listener netcat sur un terminal écoutant sur le port 389 (port du server contacté par l'imprimante dans notre cas).

Une fois cela fait, lorsqu'on cliquera sur le bouton update, l'imprimante contactera notre listener comme si il s'agissait d'un serveur légitime et lui transmettra les informations dont le mot de passe en clair.

Via un rogue LDAP server

Dans le cas où le listener netcat ne suffirait pas, on peut essayer de passer par un rogue LDAP server.

On va d'abors installer les packages nécessaires avec les commandes:

Puis on va configurer le serveur avec la commande:

Les configurations à apporter sont les suivantes:

• Omit OpenLDAP server configuration? No

• DNS domain name: <target AD domain name>

• Organization name: <target AD domain name>

• Administrator password: <mot de passe configuré lors de l'installation>

• Do you want the database to be removed when slapd is purged? No

• Move old database? Yes

Une fois les configurations terminées,

Pour capturer les informations d'identification en texte clair, reconfigurer le serveur LDAP pour prendre en charge les méthodes d'authentification PLAIN et LOGIN.

Pour ce faire, créer un fichier "olcSaslSecProps.ldif" avec les configurations ci-dessous.

Valider les nouvelles modifications avec ldapmodify et redémarrez le serveur comme ceci.

Valider les modifications avec la commande:

Puis lancer un tcpdump pour capturer les identifiants et forcer l'imprimante à se connecter au serveur rogue.

Bruteforce

Avec PRET:

Post-Exploit

Une fois l'imprimante compromise,

Rechercher des informations sensibles

Les imprimantes possèdent souvent une interface web dans laquelle il n'est pas rare de retrouver le carnet d'adresses contenant au minimum des emails de collaborateurs. On peut aussi analyser les logs pouvant donner des informations interessantes sur les connexions etc.

Accès à la mémoire

Avec PRET:

Navigation dans les répertoires

Escalation de privilèges

Réinitialisation de l'imprimante comme sortie d'usine

Essayer d'ajouter un username sans être authentifié (Port 631 - IPP)

Accounting bypass avec PRET

Interactions avec les jobs

Activer la sauvegarde des jobs

Capture des jobs

Avec PRET:

Manipulation des jobs

Outil

PRET

Printer Exploitation Toolkit - L'outil qui a rendu le dumpster diving obsolète.

Exemples d'utilisation

printer discovery:

$ ./pret.py

Lancer un shell pret:

$ ./pret.py <target printer name> <printer language>

ressource: https://github.com/RUB-NDS/PRET