И в очередной раз Kyocera сдала пароль администратора)

Пригласил меня как-то товарищ проверить состояние защищённости в своей организации. Праздное любопытство родилось из посыла, что “да любая “баба Нюра из бухгалтерии” может залезть в комп директора при желании и небольшой проф.переподготовки.”.

Для чистоты эксперимента решено было использовать только мисконфиг, без боевых эксплойтов, например, против бородатой MS17-010. Тем более, что по заверениям приятеля всё это они уже давно пропатчили.

Итак, погнали! Я не буду описывать полный кейс, лишь хочу отметить, что некогда описывал один вектор как нечто весьма спецефичное. Но, как выяснилось, это ни капли не единичный сценарий.

Описывалось тут:

Как опасные настройки МФУ помогли получить привилегии администратора

Кейс повторился “с точностью до муллиметра”. В ходе инвентаризации был обнаружен ряд МФУ небезызвестной марки.

Как всегда – дефолтный пароль. Иду в адресную книгу и вижу:

Создан какой-то адрес. Уже ручки зачесались поскорее посмотреть, что там вбито.

Традиционно – общий каталог, учётка и пароль (вытащить который из веб-интерфейса не представлялось возможным). Смутило (а точнее заинтересовало) то, что учётка оканчивалась на многообещающее “….admin”. Не, ну конечно, может быть заведено что-то типа “scan-admin”, общая учётная запись, прав у которой хватает лишь на то, чтобы записывать в общий каталог на сервере. Это было бы вполне себе нормально, думаю.

Качаем с Интернета Kyocera Net Viewer, коннектимся к нашей МФУшке.

Радость в том, что теперь пароль в оперативной памяти процесса, откуда его можно поддёрнуть уже известными средствами. Уже известные средства у меня под рукой не оказались. Но тут я вспомнил, что достаточно неплохой Hex есть в программке, знакомой моему поколению геймеров – ArtMoney. Качаем, запускаем. Подключаемся к процессу KYOCERA Net Viewer и ищем строковую переменную с именем пользователя.

Нашлось с десяток вхождений. Будем открывать каждое и смотреть, подходит ли оно визуально под XML-структуру.

На втором же вхождении видим примерно следующее:

И как всегда, пароль в открытом виде. Копируем, проверяем права на шаре при помощи CrackMapExec. И …. бум! Видим заветное (Pwn3d!). То есть на шаре имеем права локального администратора (а также не только на этом хосте, но и на многих других). Пока не в домене. Но и этого вполне достаточно. Открываю проводник от имени этой учётной записи и лезу к своему товарищу на рабочий стол. ))

Дальше мы решили раскрутить темку, посмотреть как далеко может зайти изначально непривилегированный пользователь. Ну а пока – некоторые выводы.

Некоторые выводы

  1. То, что раньше казалось единичным кейсом – вполне может быть широко распространённой практикой.
  2. Прописывать в принтера или куда-либо ещё админские учётки – плохо. Сделайте отдельного пользователя (нескольких, в группу) и этой группе нарежьте минимально необходимые привилегии.
  3. Дефолтные логин-пароль в принетре/МФУ – плохо. Все массовые сканеры проверяют их со скоростью пули. А если кажется, что во взломе МФУ нет ничего страшного – то уж как минимум временный вывод из строя печатающего устройства – это может стать настоящей головной болью, для решения которой придётся потопать ножками (по сети уже может не войдёте).
  4. Подручные инструменты вроде того же ArtMoney вполне сойдут за Hex-редактор )) Just for fun.
  5. Без сильной необходимости вообще вывешивать административный интерфейс какого-либо оборудования в ту же сеть не надо. Вопрос времени, когда его сломают.
Интересно? Поделись с другом
Litl-Admin.ru

Comments:

Comments: 5
  1. id2746

    Красава, с удовольствием читаю твои статьи! :idea:

  2. id2746

    где еще можно искать пользовательские пароли в случае отсутствия привилегий в системе или домене?

    1. litladmin (author)

      Был кейс – в файловом хранилище был настроен LDAP-обмен, в хранилку залетел под дефолтным логопассом. А дальше – исходный код страницы раскрыл пароль учётки в plaintext.
      Также можно поискать всё слабое либо дефолтное – веб-камеры, регистраторы, телефоны, коммутаторы. Например забытые или необновляемые микротики.

  3. id2746

    кстати, возможно, там же в настройках, если указать в качестве имени хоста свой ip, можно дернуть NTLM2 хеш при тесте соединения

    1. litladmin (author)

      Верно, у некоторых МФУ есть кнопка теста. К сожалению, не у всех
      И к тому же, NTLMv2 достаточно сложен в переборе, не идёт ни в какое сравнение с NTLM. Но однако успешные кейсы тоже имеются)

Leave a Reply