从默认打印机凭据到域管理员的渗透测试过程

从默认打印机凭据到域管理员的渗透测试过程

The tail of a Xerox pass-back-attack.如何利用通常被认为是良性和关键系统的设备之间的信任关系。

我将要向您展示的攻击并非特定于 Xerox 打印机。这是影响大多数现成物联网设备的弱点。这种类型的攻击是我们引导 MFP 设备通过 LDAP 或 SMB 针对恶意系统而不是预期服务器进行身份验证的攻击。从本质上讲,我们正在利用设备与 AD 等关键系统之间的信任关系。这些是您在内部渗透测试期间通常会遇到的设备,而且大多数时候网络管理员不会费心更改默认凭据。这会导致攻击者在有效的域凭据期间利用这些凭据作为在网络中获取域管理员的垫脚石。


在最近的一次接触中,我发现自己在一个客户端网络中,里面有常用的内部软件、PBX、安全警报系统、FTP 客户端和很多打印机。不幸的是,大多数都打了补丁,默认密码也发生了变化。除了Xerox 打印机。网络上的打印机是 ,这些打印机xerox altalink b8055的默认密码是admin:1111

如下图所示,我们能够成功进行身份验证。请注意,即使用户名和密码已更改,由于用户将保留admin并且密码通常很容易被猜到,因此爆破此登录也是可行的。

从默认打印机凭据到域管理员的渗透测试过程

然后我们要进入Connectivity>Setup下面看到的页面。

从默认打印机凭据到域管理员的渗透测试过程

这是配置和定位 LDAP 服务器和实用程序的位置。我们可以看到,有2个LDAP服务器IP的设置10.101.x.x10.115.x.x,如果我们看一下Login Name我们可以看到,加入域的服务帐户domain\printersvc正在使用(这是默认的服务帐户)使用该服务。

我们的 IP10.101.112.159如下所示。

从默认打印机凭据到域管理员的渗透测试过程

我们要做的是IP address将 LDAP 服务器的地址更改为我们机器的 IP 地址。因此,LDAP 查询将通过我们而不是服务器。对于不了解LDAP的人,以纯文本方式查询。我们在这里尝试做的是让domain\printersvc用户通过 LDAP 向我们进行身份验证,以便我们可以以明文形式恢复其凭据。

从默认打印机凭据到域管理员的渗透测试过程

如上所示,我们已将 Xerox LDAP 服务器的 IP 地址更改为我们的机器。执行此操作后,我们将转到User Mappings下图,并验证 LDAP 服务器是否是我们机器的 IP。此时,我们将利用 netcat 实用程序接收连接,该连接将显示打印机用于访问活动目录域控制器的凭据,包括域、用户名和密码。一旦我们的 netcat 侦听器设置好,我们将使用 LDAP 服务器搜索字段,并搜索任何内容。

从默认打印机凭据到域管理员的渗透测试过程
从默认打印机凭据到域管理员的渗透测试过程

TADA 现在你有一个域用户和他的凭据。从这里开始,您的工作相对容易。在最好的情况下,您刚刚获得了一个属于特权安全组的 AD 用户帐户。

经验中的一个可悲事实是,这些打印机服务帐户通常属于特权组,例如“域管理员”或“企业管理员”,它授予攻击者对 Active Directory 域的完全控制权。使这种典型的中等 CVSS 发现(默认凭据)成为一个严重漏洞。

如果您不走运并且您不是 DA,您仍然可以使用域用户在域中站稳脚跟。例如,考虑到这可能不是 Red Team,您不妨使用具有此服务帐户的 Bloodhound 来获取所有域用户的列表。

从默认打印机凭据到域管理员的渗透测试过程

获得结果后,您可以获得域用户列表 

match (u:User) where u.enabled = true return u.name
从默认打印机凭据到域管理员的渗透测试过程

现在,您可能已经获得了大约 700 个域帐户的列表,您可以愉快地开始使用 CME 进行喷涂。没有必要做任何花哨的事情,您只需使用,和等密码即可[email protected]$$w0rd,如果您这样做,您获得更有影响力的域帐户的几率是巨大的。Welcome123Company2021!soleil123

该漏洞为Xerox 所知,并于 2020 年 2 月由史蒂夫坎贝尔发现。 目前,以下打印机(约占所有Xerox 打印机的 80%)中存在该漏洞:

Xerox® WorkCentre® 3655*/3655i*/58XX*/58XXi* 59XX*/59XXi*/6655**/6655i**/72XX*/72XXi* 78XX**/78XXi**/7970**/7970i**/EC7836**/EC7856** 

温馨提醒,这种类型的漏洞可以在您通常在客户端网络上遇到的大多数系统上找到。因此,无论您认为该系统多么愚蠢或无影响,请始终测试默认凭据。

Leave a Reply

您的电子邮箱地址不会被公开。 必填项已用*标注