प्रिंटर्स में जानकारी

tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

इंटरनेट पर कई ब्लॉग हैं जो डिफ़ॉल्ट/कमजोर लॉगिन क्रेडेंशियल्स के साथ LDAP के साथ प्रिंटर्स को कॉन्फ़िगर करने के खतरों को उजागर करते हैं
इसका कारण यह है कि एक हमलावर प्रिंटर को एक धोखाधड़ी LDAP सर्वर के खिलाफ प्रमाणित करने के लिए धोखा दे सकता है (आमतौर पर एक nc -vv -l -p 389 या slapd -d 2 पर्याप्त है) और प्रिंटर के क्रेडेंशियल्स को स्पष्ट पाठ में कैप्चर कर सकता है

इसके अलावा, कई प्रिंटर्स में उपयोगकर्ता नामों के साथ लॉग होंगे या यहां तक कि डोमेन कंट्रोलर से सभी उपयोगकर्ता नामों को डाउनलोड करने में सक्षम हो सकते हैं

यह सब संवेदनशील जानकारी और सामान्य सुरक्षा की कमी प्रिंटर्स को हमलावरों के लिए बहुत दिलचस्प बनाती है।

इस विषय पर कुछ परिचयात्मक ब्लॉग:

प्रिंटर कॉन्फ़िगरेशन

  • स्थान: LDAP सर्वर सूची आमतौर पर वेब इंटरफ़ेस में पाई जाती है (जैसे Network ➜ LDAP Setting ➜ Setting Up LDAP)।
  • व्यवहार: कई एम्बेडेड वेब सर्वर LDAP सर्वर संशोधनों की अनुमति देते हैं बिना क्रेडेंशियल्स फिर से दर्ज किए (उपयोगिता सुविधा → सुरक्षा जोखिम)।
  • शोषण: LDAP सर्वर पते को एक हमलावर-नियंत्रित होस्ट पर रीडायरेक्ट करें और प्रिंटर को आपके साथ बाइंड करने के लिए Test Connection / Address Book Sync बटन का उपयोग करें।

क्रेडेंशियल्स कैप्चर करना

विधि 1 – नेटकैट लिस्नर

bash
sudo nc -k -v -l -p 389     # LDAPS → 636 (or 3269)

छोटे/पुराने MFPs साधारण simple-bind को स्पष्ट पाठ में भेज सकते हैं जिसे netcat कैप्चर कर सकता है। आधुनिक उपकरण आमतौर पर पहले एक गुमनाम क्वेरी करते हैं और फिर बाइंड करने का प्रयास करते हैं, इसलिए परिणाम भिन्न होते हैं।

विधि 2 – पूर्ण रॉग LDAP सर्वर (सिफारिश की गई)

क्योंकि कई उपकरण गुमनाम खोज पहले प्रमाणीकरण करने से पहले करते हैं, एक वास्तविक LDAP डेमन स्थापित करना बहुत अधिक विश्वसनीय परिणाम देता है:

bash
# Debian/Ubuntu example
sudo apt install slapd ldap-utils
sudo dpkg-reconfigure slapd   # set any base-DN – it will not be validated

# run slapd in foreground / debug 2
slapd -d 2 -h "ldap:///"      # only LDAP, no LDAPS

जब प्रिंटर अपनी खोज करता है, तो आप डिबग आउटपुट में स्पष्ट-टेक्स्ट क्रेडेंशियल्स देखेंगे।

💡 आप impacket/examples/ldapd.py (Python rogue LDAP) या Responder -w -r -f का उपयोग करके LDAP/SMB के माध्यम से NTLMv2 हैश एकत्रित कर सकते हैं।

हाल की पास-बैक कमजोरियाँ (2024-2025)

पास-बैक नहीं एक सैद्धांतिक समस्या है - विक्रेता 2024/2025 में सलाह जारी करते रहते हैं जो इस हमले की श्रेणी का सटीक वर्णन करते हैं।

Xerox VersaLink – CVE-2024-12510 & CVE-2024-12511

Xerox VersaLink C70xx MFPs का फर्मवेयर ≤ 57.69.91 ने एक प्रमाणित व्यवस्थापक (या किसी को भी जब डिफ़ॉल्ट क्रेड्स बने रहते हैं) को अनुमति दी:

  • CVE-2024-12510 – LDAP पास-बैक: LDAP सर्वर पते को बदलना और एक खोज को ट्रिगर करना, जिससे डिवाइस हमलावर-नियंत्रित होस्ट को कॉन्फ़िगर की गई Windows क्रेडेंशियल्स लीक कर दे।
  • CVE-2024-12511 – SMB/FTP पास-बैक: स्कैन-टू-फोल्डर गंतव्यों के माध्यम से समान समस्या, NetNTLMv2 या FTP स्पष्ट-टेक्स्ट क्रेड्स लीक करना।

एक सरल श्रोता जैसे:

bash
sudo nc -k -v -l -p 389     # capture LDAP bind

or एक बागी SMB सर्वर (impacket-smbserver) क्रेडेंशियल्स को इकट्ठा करने के लिए पर्याप्त है।

Canon imageRUNNER / imageCLASS – सलाह 20 मई 2025

Canon ने दर्जनों लेज़र और MFP उत्पाद लाइनों में एक SMTP/LDAP पास-बैक कमजोरी की पुष्टि की। एक हमलावर जिसके पास प्रशासनिक पहुंच है, सर्वर कॉन्फ़िगरेशन को संशोधित कर सकता है और LDAP या SMTP के लिए संग्रहीत क्रेडेंशियल्स प्राप्त कर सकता है (कई संगठन स्कैन-टू-मेल की अनुमति देने के लिए एक विशेषाधिकार प्राप्त खाता का उपयोग करते हैं)।

विक्रेता की मार्गदर्शिका स्पष्ट रूप से अनुशंसा करती है:

  1. उपलब्ध होते ही पैच किए गए फर्मवेयर में अपडेट करें।
  2. मजबूत, अद्वितीय प्रशासनिक पासवर्ड का उपयोग करें।
  3. प्रिंटर एकीकरण के लिए विशेषाधिकार प्राप्त AD खातों से बचें।

स्वचालित गणना / शोषण उपकरण

उपकरणउद्देश्यउदाहरण
PRET (Printer Exploitation Toolkit)PostScript/PJL/PCL दुरुपयोग, फ़ाइल-प्रणाली पहुंच, डिफ़ॉल्ट-क्रेड्स जांच, SNMP खोजpython pret.py 192.168.1.50 pjl
PraedaHTTP/HTTPS के माध्यम से कॉन्फ़िगरेशन (पता पुस्तिकाओं और LDAP क्रेड्स सहित) इकट्ठा करेंperl praeda.pl -t 192.168.1.50
Responder / ntlmrelayxSMB/FTP पास-बैक से NetNTLM हैश कैप्चर और रिले करेंresponder -I eth0 -wrf
impacket-ldapd.pyस्पष्ट-पाठ बाइंड प्राप्त करने के लिए हल्का बागी LDAP सेवाpython ldapd.py -debug

हार्डनिंग और पहचान

  1. पैच / फर्मवेयर-अपडेट MFPs को तुरंत करें (विक्रेता PSIRT बुलेटिन की जांच करें)।
  2. कम-से-कम विशेषाधिकार सेवा खाते – LDAP/SMB/SMTP के लिए कभी भी डोमेन एडमिन का उपयोग न करें; पढ़ने-के-लिए OU स्कोप तक सीमित करें।
  3. प्रबंधन पहुंच को प्रतिबंधित करें – प्रिंटर वेब/IPP/SNMP इंटरफेस को एक प्रबंधन VLAN में रखें या ACL/VPN के पीछे।
  4. अप्रयुक्त प्रोटोकॉल को निष्क्रिय करें – FTP, Telnet, raw-9100, पुराने SSL सिफर।
  5. ऑडिट लॉगिंग सक्षम करें – कुछ उपकरण LDAP/SMTP विफलताओं को syslog कर सकते हैं; अप्रत्याशित बाइंड्स को सहसंबंधित करें।
  6. असामान्य स्रोतों पर स्पष्ट-पाठ LDAP बाइंड्स की निगरानी करें (प्रिंटर सामान्यतः केवल DCs से बात करते हैं)।
  7. SNMPv3 या SNMP को निष्क्रिय करें – समुदाय public अक्सर उपकरण और LDAP कॉन्फ़िगरेशन लीक करता है।

संदर्भ

  • https://grimhacker.com/2018/03/09/just-a-printer/
  • Rapid7. “Xerox VersaLink C7025 MFP Pass-Back Attack Vulnerabilities.” फरवरी 2025।
  • Canon PSIRT. “लेज़र प्रिंटर्स और छोटे कार्यालय मल्टीफंक्शन प्रिंटर्स के लिए SMTP/LDAP पासबैक के खिलाफ कमजोरियों का शमन।” मई 2025।

tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें