超级版主
ZerOne无线安全研究组织 Leader
   
- 注册时间
- 2006-5-18
- 金币
- 7935 个
- 威望
- 175 个
- 荣誉
- 52 个
累计签到:3 天
连续签到:0 天
[LV.20]漫游旅程
|
本帖最后由 longas 于 2009-1-1 22:51 编辑 2 q+ k1 D4 t6 j% z1 r) ^
) N/ G4 i5 q+ f& ]
Wireless Printer Attack
9 g6 H; c7 j& |, Y: F H
# O, k. g R6 y( n6 L1 z新年第一弹!! 无线打印机攻击0 [7 V0 h+ L# ]0 I" S+ i$ E
7 a! {; K! j6 W$ i0 y
作者:杨 哲 / Christopher Yang [ZerOne]' [( M Z# ]/ @7 }
(本文完整内容已发表在《黑客防线》杂志2008年11月期,封面即可见,也可以查看已出版的《无线网络安全攻防实战》一书,欢迎用于交流目的转载,转载时请注明作者及来源,谢谢)- b e* ]8 S( B d: q+ Q
2 M3 s% O! ^6 W h+ a: M
写在前面的话:6 }3 S% C R" D6 ?9 U
最近遇到了很多琐事,耽误了一下,现在我又回来了。闲话少说,先给大家送上一篇无线攻击的新内容--无线打印机攻击,祝大家新年快乐!!在传统的网络安全架构及理念中,提及企业资产中的网络设备时,绝大多数管理员及网络安全人员都会想到诸如服务器、客户端计算机、路由及交换设备、无线网络设备等常被提及的网络设备,客户端计算机、路由及交换设备、无线网络设备等常被提及的网络设备,但是除此之外,还有一些网络设备时常会被安全人员所忽视。这些被忽视的设备上可能出现的安全隐患在某些程度上并不亚于存在严重级别漏洞,比如在办公室里无处不在的打印设备。由于身为无线安全版主,所以本文将以无线打印设备为主。
7 m2 R9 Y3 A9 m$ [
) x" H) r) X/ v+ {& [# \- `: r1.扫描及识别无线打印机/打印服务器
- h3 p2 |) I6 Z) I 很多提供打印服务的高级打印服务器,都会根据其支持性开放不同的服务,即开启不同类型的端口。那么,在通过破解WEP或者WPA密码进入到内部网络后,攻击者可以使用nmap对内网进行端口扫描来判定。如下为对内网打印服务器进行端口扫描,可以看到识别为D-Link的产品。
, U1 a* u' r8 [7 g2 b------------------------------------------------------------4 s: t5 s, A: o% L) \& z* @
C:\nmap-4.76>nmap -vv -sS 192.168.1.200# u( @0 ]: y4 t& E) w
- a3 W5 @$ _/ c, I; t4 wStarting Nmap4.76 ( http://nmap.org ) at 2008-09-20 12:31 中国标准时间
) X: Z+ Z$ o( } {& GInitiating ARPPing Scan at 12:31) w4 ~* b! Q; j) T
Scanning192.168.1.200 [1 port]
, L4 `# t+ a: B( O- V }! p- wCompleted ARPPing Scan at 12:31, 0.16s elapsed (1 total hosts)) z! e& w" Q0 V4 P6 A( u
InitiatingParallel DNS resolution of 1 host. at 12:31
H7 O9 L9 V2 j7 f* ^$ Q/ OCompletedParallel DNS resolution of 1 host. at 12:31, 0.00s elapsed& h* G; g" y7 ^# G8 v% k, J
Initiating SYNStealth Scan at 12:31
+ J5 o V" c: V* BScanning192.168.1.200 [1000 ports]1 V+ |/ Z0 _( g& {
Discovered openport 80/tcp on 192.168.1.200( a3 _( Y# E5 }7 k7 R
Discovered openport 21/tcp on 192.168.1.2005 c6 k5 \( n5 W! B: A3 ^
Discovered openport 23/tcp on 192.168.1.200
* q% k& h0 g" _2 E$ r4 QDiscovered openport 139/tcp on 192.168.1.200% N1 ^- @' h1 [1 J: G2 P
Increasing senddelay for 192.168.1.200 from 0 to 5 due to 48 out of 158 dropped8 s# V) [! O6 P1 g
probes since last increase.
R+ ^( l) d* n9 t' \; ADiscovered openport 515/tcp on 192.168.1.200
3 C9 h9 ]2 Z4 j. R* _Discovered openport 9102/tcp on 192.168.1.200
8 L7 u4 x; s3 w& @Completed SYNStealth Scan at 12:31, 15.95s elapsed (1000 total ports)8 ?. f9 H. H* ]
Host192.168.1.200 appears to be up ... good.
; l* R9 k3 a$ M# JScanned at2008-09-20 12:31:33 中国标准时间 for 16s! u$ G" k/ c% B8 @5 p5 E9 S4 m7 t$ R7 C3 ~
Interestingports on 192.168.1.200:
3 t+ L) u. K% Y. o+ [Not shown: 994closed ports0 d# l! e) X5 f! K
PORT STATE SERVICE
. b# [( o# A5 @% ^. u0 @* P3 l1 |21/tcp open ftp6 w) X7 S3 H t& Z, g' q$ X9 a
23/tcp open telnet/ [" n7 t* Y! ^+ [5 G, `
80/tcp open http4 d K7 _- m- L, K! q
139/tcp open netbios-ssn
: o5 n" b" d. N, H7 V" i4 N515/tcp open printer
0 [* X; f2 ] Z9102/tcp open jetdirect( d& W9 K4 p% @$ X' ]. a
MAC Address: 00:15:E9:6D:8C:76 (D-Link). W6 E& n: U) R! N* j; Q, H& |
/ j0 {& q5 V2 I$ s% zRead data filesfrom: C:\nmap-4.76
2 ^0 {1 o3 h' k. W5 i/ ^0 zNmap done: 1 IPaddress (1 host up) scanned in 16.70 seconds' C0 H( Q0 ]. ]! W5 x3 x) o6 Q
% A# u* K3 m" \8 `Raw packets sent: 1088 (47.870KB) | Rcvd:1288 (51.858KB)
, ], I$ e) l9 P4 V---------------------------------------------------------------------3 f v" x1 h6 N6 E n4 B- G5 f
如果对扫描结果不满意,可以再次进行深入地操作系统版本或者详细服务版本探测,比如对于打印服务器而言,为了设置方便,一般都会提供WEB方式进行全面管理,也就是说,往往还会开放80端口。通过对80端口的扫描来获取WEB Banner,也是一种判断打印机/打印服务器的方法。如下图显示的为使用Nmap的GUI版Zenmap来进行探测的结果,可以看到,已经清晰地识别出目标为D-Link DP-G310 Wireless Print Server即D-Link无线打印服务器。6 y2 s# T2 W' D8 O
! [$ @9 J7 }! g' I8 s
下图为Linksys小型无线打印服务器WPSM54G; H f) {- L/ p0 d: m; C+ l
9 }& m) S8 s) j# g$ h
7 c: a/ D( |% W7 ~; ]8 ^- ^ 而由于不同厂商及不同系列打印服务器开放的端口并不完全一致,所以在扫描其它打印服务器时,最终的扫描结果也将会呈现出不同的结论。如下即为对内网指定目标的探测结果,可以看到BackTrack3下的nmap识别出该目标为HP LaserJet 打印机或打印服务器。(注:为方便显示,这里我将显示内容进行了删减)+ U( j; |. k0 c! e; c7 E4 p0 x
-------------------------------------------------------; @: H: \7 U" E, ]5 A. b
Zerone:~# nmap -A 192.168.0.23
/ i1 |3 x4 d3 L+ `* N0 L* _. b- _( I- U4 c4 v; L4 J
Starting nmap 3.81 ( http://www.insecure.org/nmap/ ) at 2007-10-28 12:54 中国标准时间: E: I) b3 N* T- G! s8 e, r4 ~
Interesting ports on testprinter (192.168.0.23):
6 F4 P! x3 w9 Y6 h5 d5 r(The 1656 ports scanned but not shown below are in state: closed)
% ~5 Y' r) c% ^( e9 C8 U3 kPORT STATE SERVICE VERSION! ]* \: W/ y' N& O" V
21/tcp open ftp HP JetDirect ftpd1 P2 a T4 [0 P- X* ] p
23/tcp open telnet?5 |& _, c3 j" j
80/tcp open http HP Jetdirect httpd% I! Q: K P* O. L* I V, h
280/tcp open http HP Jetdirect httpd4 g- J% y6 t0 C. ]$ y( S
515/tcp open sdmsvc LANDesk Software Distribution (sdmsvc.exe)
( y4 K1 I8 H' X3 y631/tcp open http HP Jetdirect httpd
# b) A2 X* x, Q9100/tcp open jetdirect?" ^$ K* k8 N3 w. {
Device type: printer|print server8 f$ K$ s* @8 ~: |1 O8 h" H% J
Running: HP embedded
1 O' T( T2 c: u# F0 hOS details: HP LaserJet printer/print server7 e5 _! T# g1 H# }
8 {9 Z* F7 \* x% Y; b g. ^# y
Nmap finished: 1 IP address (1 host up) scanned in 118.673 seconds! }7 w7 [* `" \2 I
-------------------------------------------------------
9 j) Q9 j( e; ^: g2.攻击打印机设备
- p9 [ ?" |( O( H+ B 一旦确定目标,恶意的攻击者可以采用多种方式对内部打印机进行破坏或者对正常业务干扰,比如针对打印机的D.O.S攻击、特殊病毒攻击等等。轻则导致内部打印机打印出错,严重则会导致打印机崩溃死机,从而使得内部办公环境陷入混乱。此时,一些心怀恶意的攻击者甚至商业间谍就可以乘虚直入,窃取内部文档、磁碟、光盘等内部资料。对于公司里一些经常需要打印支持的外贸、行政、人力资源部门,应特别引起注意。2 N0 Q1 H" C# _% `* T) z
2.1 缓冲区溢出及D.O.S攻击
+ q" J: {$ T; }9 w) Q$ N. j# g 关于缓冲区溢出的原理这里不再阐述,作为关注论坛的朋友应该都已经较为熟悉,大家可以查询一下去年我发的BackTrack下的溢出工具使用,即通过无线从外网到内网渗透系列文章。下表1为近年来爆出的较出名的打印机/打印机服务/打印服务器相关漏洞合集列表,涉及到多款目前依旧在被广泛使用的打印机型号,还包括了个别操作系统自身的打印服务出现的安全漏洞。作为以前忽视此方面安全防护的机构及管理员应引起重视,并及时到厂商下载及更新补丁。其具体信息及测试代码有兴趣的读者可以到SecurityFocus.com等网络漏洞公告栏查看。
! z O9 H; H+ }* a) A6 M; f表 1 较出名的打印机/打印机服务/打印服务器相关漏洞合集列表(全表请参考黑防杂志)+ D b9 h0 o4 U5 q
; f5 m( }% K1 T
| 发布时间 |
: a! y* n5 n7 \漏洞名称 |
3 w7 \6 V3 E4 z& Y受影响系统 | 2008-05-16
( r9 G1 [$ a0 Y6 |) [( u | Microsoft IE “打印链接列表”跨区脚本注入漏洞 | IE 7.0
2 W9 p' H: v& {% {) k IE 8.0b | 2008-03-033 c3 y5 P% d6 _% z
| 佳能多功能打印机存FTP跳转攻击漏洞4 a! D4 l, ~" R, ~( B0 _4 G* f
| imageRUNNER 7086/7095/7105
5 Q+ j' Y/ e" G' F4 I( v, e/ u imageRUNNER C5058/5068
4 J7 R' E1 P, u3 ^9 Q Color imageRUNNER C3220/26209 J) R2 }3 y3 {) d3 J D5 m7 ~
等46款佳能打印机 | 2007-03-29
" [( ` M* s- }9 ^ | HP JetDirect打印程序 RERT命令远程拒绝服务漏洞 | HP FTP Print Server 2.4 | 2006-12-219 x) p- q, d; g' z
| HP LaserJet FTP打印服务器LIST命令缓冲溢出漏洞1 D8 r4 e3 l' m1 Q
3 ]% B2 h) N7 E/ }7 v% p5 o
| HP LaserJet 5100 Series
, f: ?1 D) a: {% Y) L5 V: X& _, F HP LaserJet 5000 Series0 [! l) O5 n4 `6 E0 Y' B4 \8 v! D
HP FTP Print Server 2.4.5! ?+ m( f4 Y6 v0 B4 B
HP FTP Print Server 2.4 |
$ ?# L( Z- `( A7 [ {' v
2.2 MITM攻击截获打印服务器登录密码) u. i% n9 w$ X* D5 g# J8 C9 m- w
; D4 k$ P8 ]& c2 w
对于少许有着良好安全意识的管理员,会在无线打印机/打印服务器上启用密码验证,这样,任何试图修改无线打印机/打印服务器配置甚至仅仅是使用无线打印机的用户都将看到如下图般的登录提示。
4 \+ ~2 D/ n, J; P, x4 R+ S$ N$ k# I1 p
在这样的情况下,对于内部员工或者渗透至内网的恶意攻击者来说,可以使用MITM攻击来将目标与打印服务器之间的通信数据进行中转、拦截、破坏等。换句话说,由于一般的打印服务器并不会启用类似SSL、SSH之类的强化措施对通讯过程加密,所以通过MITM攻击是能够截获到管理员登录打印服务器的管理密码。一般来说,先对打印服务器发动简单的D.O.S攻击使其无法正常接受打印作业,以此来诱使管理员登录查看,这样便可以使用ARP欺骗之类的手法来截获密码了。如下图框内所示为截获到的打印服务器登录帐户及密码。- s- i+ u& I( N0 ^
6 V0 E+ a2 ]' @; v, p. [7 y; S7 w
. r7 Y; [2 i3 S/ G3 ~% T% C* d3.截获打印数据流- U/ ^+ }0 W7 }' i4 p
8 A3 f& }4 h$ R, f% {8 D
这里我们从以下几个角度来简单讨论下打印数据的截获。9 E, b0 }4 U) \: {
3.1 从网络角度进行截获: x# C% H8 P4 J1 d% \3 _* C5 L4 |0 z
6 o6 M. q! n0 o7 N* g! ?0 Y# P
一般来说,对于使用无线打印服务器或者多功能打印机的环境,作为客户端与打印服务器之间的数据是比较容易监听的。如下图
8 c( ^/ K3 _6 C1 e- X; z H为在进行正常的打印作业时,截获的客户端与打印服务器之间的交互数据报文。( x+ l1 N$ D+ \- |: \
! z3 O1 {/ `' l0 O9 I
在对截取的打印数据报文进行深入分析,比如跟踪数据流后,我们可以轻松地识别出当前正在或者刚刚打印的文档名称,如下图
* e/ l$ e+ q3 M4 C& d% ~- J, l中黑框处所示正在打印的为Microsoft Word文档,文档全名是“mianshi.doc”,打印机名称为EPSON。
7 w F, ^& r6 N
# o7 k" L5 n" j+ J, Y# b; v: [
: \7 I0 B9 J3 ^3 w4 t/ t后续内容,且听下回分解。。。。
: N! U8 Z5 K8 \+ k
. T" `1 P' v9 W; {& @8 ] 最后, 我是ZerOne安全团队无线安全组组长 Christopher Yang,希望此文可加深大家体会无线安全领域发展形势,如文中有不明或表述有误的地方,恭请指正。更多内容,近期即将全面推出!!感谢各位一直以来的支持与鼓励。0 S, z3 i& ~ v
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?注册
x
|
IP卡
狗仔卡
发表于 2009-1-1 22:25
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
发表于 2014-10-5 19:05
发表于 2009-1-1 22:50
