朋友们现在只对常读和星标的公众号才展示大图推送,建议大家把SecretTeam安全团队“设为星标”,否则可能就看不到了啦!
![域渗透之 从默认打印机凭据到域管理员]( "域渗透之 从默认打印机凭据到域管理员")
"本文档所提供的信息旨在帮助网络安全专业人员更好地理解并维护他们负责的网站和服务器等系统。我们鼓励在获得适当授权的情况下使用这些信息。请注意,任何未经授权的使用或由此产生的直接或间接后果和损失,均由使用者自行承担。我们提供的资源和工具仅供学习和研究之用,我们不鼓励也不支持任何非法活动。"
"我们创建这个社区是为了促进技术交流和知识分享。我们希望每位成员都能在遵守法律法规的前提下参与讨论和学习。如果使用本文档中的信息导致任何直接或间接的后果和损失,我们提醒您,这将由您个人承担。我们不承担由此产生的任何责任。如果有任何内容侵犯了您的权益,请随时告知我们,我们将立即采取行动并表示诚挚的歉意。我们感谢您的理解和支持。"
我即将向您展示的攻击并不特定于 Xerox 打印机, Xerox 打印机只是作为一个案例。这是影响大多数现成 IoT 设备的弱点。这种类型的攻击是指我们指示 MFP 设备通过 LDAP 或 SMB 对流氓系统而不是预期的服务器进行身份验证。从本质上讲,我们正在利用设备与 AD 等关键系统之间的信任关系。
这种类型的攻击是指我们指示 MFP 设备通过 LDAP 或 SMB 对流氓系统而不是预期的服务器进行身份验证。从本质上讲,我们正在利用设备与 AD 等关键系统之间的信任关系。这些是内部渗透测试中经常会遇到的设备,大多数情况下,网络管理员不会费心更改默认凭据。这会导致攻击者使用有效的域凭据,这些凭据可以用作在网络中获取域管理员的路径。
在最近的一次参与中,我发现自己在一个客户网络中,拥有通常的内部软件、PBX、安全警报系统、FTP 客户端和大量打印机。不幸的是,大多数都被修补了,默认密码也发生了变化。除了 Xerox Printers。网络上的打印机是 xerox altalink b8055,它们的默认密码是 admin:1111
如下图所示,我们能够成功进行身份验证。请注意,即使用户名和密码已更改,暴力强制此登录也是可行的,因为用户将保持管理员状态,并且密码通常很容易猜到。
然后,我们将要进入如下所示的 Connectivity > Setup 页面。
这是 LDAP 服务器和实用程序的配置和位置。我们可以看到有 2 个 LDAP 服务器 IP 集:10.101.x.x 和 10.115.x.x,如果我们查看登录名,我们会看到此服务正在使用已加入域的服务帐户 domainprintersvc(这是默认服务帐户)。
我的 IP 是 10.101.112.159,如下所示。
我们要做的是将 LDAP 服务器的 IP 地址更改为我们机器的 IP 地址。因此,LDAP 查询将通过我们传递,而不是传递到服务器。对于那些不知道 LDAP 的人,LDAP 是以纯文本形式查询的。我们在这里尝试做的是让 domainprintersvc 用户通过 LDAP 向我们进行身份验证,以便我们可以以明文形式恢复其凭据。
如上所示,我们已将 Xerox 的 LDAP 服务器的 IP 地址更改为我们的机器。完成此操作后,我们将转到下面看到的 User Mappings,并验证 LDAP 服务器是否是我们计算机的 IP。此时,我们将利用 netcat 实用程序接收连接,该连接将显示打印机用于访问 Active Directory 域控制器的凭据,包括域、用户名和密码。设置好 netcat 侦听器后,我们将使用 LDAP 服务器搜索字段,并搜索任何内容。
现在,我已经获得了域用户及其凭证。从这里开始,我们获得了属于特权安全组的 AD 用户帐户。后续的工作就相对简单了。
根据经验,这些打印机服务帐户通常属于特权组,例如 "Domain Admins"或"Enterprise Admins",该组授予攻击者对 Active Directory 域的完全控制权。
如果运气不好并且不是 "Domain Admins",仍然可以使用域用户在域中站稳脚跟。例如,我们不妨将 bloodhound 与此服务账户结合使用,以获取所有域用户的列表。
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3252394.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论