Yazıcılarındaki Bilgiler
tip
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Azure Hacking'i öğrenin ve pratik yapın:
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks'i Destekleyin
- abonelik planlarını kontrol edin!
- 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da bizi takip edin 🐦 @hacktricks_live.**
- Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.
İnternette, varsayılan/zayıf oturum açma kimlik bilgileriyle yapılandırılmış yazıcıların tehlikelerini vurgulayan birkaç blog bulunmaktadır.
Bunun nedeni, bir saldırganın yazıcıyı sahte bir LDAP sunucusuna kimlik doğrulaması yapmaya kandırabilmesidir (genellikle bir nc -vv -l -p 389
veya slapd -d 2
yeterlidir) ve yazıcının kimlik bilgilerini düz metin olarak yakalayabilmesidir.
Ayrıca, birçok yazıcı kullanıcı adlarıyla günlükler içerecek veya hatta Tüm kullanıcı adlarını Alan Denetleyicisinden indirebilecek yeteneğe sahip olabilir.
Tüm bu hassas bilgiler ve yaygın güvenlik eksiklikleri, yazıcıları saldırganlar için çok ilginç hale getiriyor.
Konu hakkında bazı tanıtıcı bloglar:
- https://www.ceos3c.com/hacking/obtaining-domain-credentials-printer-netcat/
- https://medium.com/@nickvangilder/exploiting-multifunction-printers-during-a-penetration-test-engagement-28d3840d8856
Yazıcı Yapılandırması
- Konum: LDAP sunucu listesi genellikle web arayüzünde bulunur (örneğin, Ağ ➜ LDAP Ayarı ➜ LDAP Kurulumu).
- Davranış: Birçok gömülü web sunucusu, kimlik bilgilerini yeniden girmeden LDAP sunucu değişikliklerine izin verir (kullanılabilirlik özelliği → güvenlik riski).
- Sömürü: LDAP sunucu adresini saldırganın kontrolündeki bir ana bilgisayara yönlendirin ve yazıcının size bağlanmasını sağlamak için Bağlantıyı Test Et / Adres Defteri Senkronizasyonu düğmesini kullanın.
Kimlik Bilgilerini Yakalama
Yöntem 1 – Netcat Dinleyici
sudo nc -k -v -l -p 389 # LDAPS → 636 (or 3269)
Küçük/eski MFP'ler, netcat'in yakalayabileceği basit bir simple-bind açık metin olarak gönderebilir. Modern cihazlar genellikle önce anonim bir sorgu yapar ve ardından bind denemesi yapar, bu nedenle sonuçlar değişkenlik gösterir.
Yöntem 2 – Tam Rogue LDAP sunucusu (önerilir)
Birçok cihaz, kimlik doğrulamadan önce anonim bir arama yapacağından, gerçek bir LDAP daemon'u kurmak çok daha güvenilir sonuçlar verir:
# Debian/Ubuntu example
sudo apt install slapd ldap-utils
sudo dpkg-reconfigure slapd # set any base-DN – it will not be validated
# run slapd in foreground / debug 2
slapd -d 2 -h "ldap:///" # only LDAP, no LDAPS
Yazıcı arama işlemini gerçekleştirdiğinde, hata ayıklama çıktısında açık metin kimlik bilgilerini göreceksiniz.
💡 Ayrıca
impacket/examples/ldapd.py
(Python rogue LDAP) veyaResponder -w -r -f
kullanarak LDAP/SMB üzerinden NTLMv2 hash'lerini toplayabilirsiniz.
Son Geçiş Geri Dönüş Açıkları (2024-2025)
Geçiş geri dönüşü teorik bir sorun değildir – satıcılar 2024/2025'te bu saldırı sınıfını tam olarak tanımlayan bildirimler yayınlamaya devam ediyor.
Xerox VersaLink – CVE-2024-12510 & CVE-2024-12511
Xerox VersaLink C70xx MFP'lerin 57.69.91 veya daha düşük yazılımı, kimlik doğrulaması yapılmış bir yöneticinin (veya varsayılan kimlik bilgileri kaldığında herhangi birinin) şunları yapmasına izin verdi:
- CVE-2024-12510 – LDAP geçiş geri dönüşü: LDAP sunucu adresini değiştirmek ve bir arama tetiklemek, cihazın yapılandırılmış Windows kimlik bilgilerini saldırgan kontrolündeki ana bilgisayara sızdırmasına neden olur.
- CVE-2024-12511 – SMB/FTP geçiş geri dönüşü: scan-to-folder hedefleri aracılığıyla benzer bir sorun, NetNTLMv2 veya FTP açık metin kimlik bilgilerini sızdırır.
Basit bir dinleyici şöyle olabilir:
sudo nc -k -v -l -p 389 # capture LDAP bind
veya bir rogue SMB sunucusu (impacket-smbserver
) kimlik bilgilerini toplamak için yeterlidir.
Canon imageRUNNER / imageCLASS – Tavsiye 20 Mayıs 2025
Canon, birçok Laser ve MFP ürün serisinde bir SMTP/LDAP pass-back zayıflığını doğruladı. Yönetici erişimine sahip bir saldırgan, sunucu yapılandırmasını değiştirebilir ve LDAP veya SMTP için saklanan kimlik bilgilerini alabilir (birçok kuruluş, tarama için e-posta göndermeye izin vermek amacıyla ayrıcalıklı bir hesap kullanır).
Satıcı kılavuzu açıkça şunları önermektedir:
- Mevcut olduğunda yamanmış firmware ile güncelleme yapın.
- Güçlü, benzersiz yönetici parolaları kullanın.
- Yazıcı entegrasyonu için ayrıcalıklı AD hesaplarından kaçının.
Otomatik Sayım / Sömürü Araçları
Araç | Amaç | Örnek |
---|---|---|
PRET (Printer Exploitation Toolkit) | PostScript/PJL/PCL kötüye kullanımı, dosya sistemi erişimi, varsayılan kimlik bilgileri kontrolü, SNMP keşfi | python pret.py 192.168.1.50 pjl |
Praeda | HTTP/HTTPS üzerinden yapılandırma (adres defterleri ve LDAP kimlik bilgileri dahil) toplama | perl praeda.pl -t 192.168.1.50 |
Responder / ntlmrelayx | SMB/FTP pass-back'ten NetNTLM hash'lerini yakalama ve iletme | responder -I eth0 -wrf |
impacket-ldapd.py | Düz metin bağlamalarını almak için hafif rogue LDAP servisi | python ldapd.py -debug |
Güçlendirme & Tespit
- Yamanız / firmware güncellemesi MFP'leri zamanında yapın (satıcı PSIRT bültenlerini kontrol edin).
- En Az Ayrıcalık Hizmet Hesapları – LDAP/SMB/SMTP için asla Domain Admin kullanmayın; salt okunur OU kapsamları ile sınırlayın.
- Yönetim Erişimini Kısıtlayın – yazıcı web/IPP/SNMP arayüzlerini bir yönetim VLAN'ında veya bir ACL/VPN arkasında yerleştirin.
- Kullanılmayan Protokolleri Devre Dışı Bırakın – FTP, Telnet, raw-9100, eski SSL şifreleri.
- Denetim Günlüğü Oluşturmayı Etkinleştirin – bazı cihazlar LDAP/SMTP hatalarını syslog yapabilir; beklenmeyen bağlamaları ilişkilendirin.
- Alışılmadık Kaynaklarda Düz Metin LDAP bağlamalarını İzleyin (yazıcılar normalde yalnızca DC'lerle iletişim kurmalıdır).
- SNMPv3 veya SNMP'yi devre dışı bırakın – topluluk
public
genellikle cihaz ve LDAP yapılandırmasını sızdırır.
Referanslar
- https://grimhacker.com/2018/03/09/just-a-printer/
- Rapid7. “Xerox VersaLink C7025 MFP Pass-Back Attack Vulnerabilities.” Şubat 2025.
- Canon PSIRT. “Lazer Yazıcılar ve Küçük Ofis Çok Fonksiyonlu Yazıcılar için SMTP/LDAP Passback'e Karşı Zayıflık Azaltma.” Mayıs 2025.
tip
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Azure Hacking'i öğrenin ve pratik yapın:
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks'i Destekleyin
- abonelik planlarını kontrol edin!
- 💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da bizi takip edin 🐦 @hacktricks_live.**
- Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.