MyQ 打印服务器未经身份验证的 RCE (CVE-2024-28059)

MyQ打印服务器，作为一款广泛应用于企业环境中的解决方案，旨在优化打印资源的使用，提高工作效率。

然而，近期Positive Hack Days (PHDays) 在越南举行的Positive Hack Talks in Vietnam 会议，技术员：Arseniy Sharoglazov的技术分享中其中有一项是对MyQ进行的渗透测试，发现了一个未经身份验证的远程代码执行（RCE）漏洞，漏洞编号为CVE-2024-28059。

在技术会后公开的会议技术文档第Case 1.MyQ PrintServer Project: Large Enterprise章节中就说明了该漏洞的过程。

第 1 步：利用基于时间的用户枚举

第 2 步：通过“dodgypass.txt”暴力破解帐户

第3步：通过DNT Lookup获取AD信息，使用我们之前开发的“exchanger.py”脚本

步骤 4：通过 PEAS 验证主机的可用性

通过 PEAS 利用的 ActiveSync Search/ItemOperations SSRF 的缺点是它只允许连接到 NetBIOS 名称。

第5步：MyQ软件已下载并设置。

代码在哪里？

第6步：5秒内消除混淆！

步骤 7.1：发现变量函数执行

步骤 7.2：发现变量函数执行

步骤 7.3：发现变量函数执行

步骤 7.4：发现变量函数执行

步骤8.1：RCE获取

通过8090/tcp端口首次尝试成功实现RCE

HTTPS 默认为 8090，但 POC 出人意料地有效。我考虑过尝试 49500/http，但没有必要。

步骤8.2：RCE获取

通过 print$ 共享可以方便地检索命令的输出

步骤 9.1 最终分析

• 用户枚举，暴力攻击 6天

• 发现和利用远程代码执行 1天

• 使用的外部服务 1×MS Exch

访问级别：打印服务器上的 NT AUTHORITYSYSTEM

步骤 9.2：最终分析

MyQ 于 2024 年 1 月修补了该问题并分配了 CVE-2024-28059

幻灯片：

https://static.ptsecurity.com/events/exch-vietnam.pdf