不可忽视的打印机漏洞研究

一、前言

经过最近一段时间测试，发现企业内网打印机存在多种漏洞，同时也经常被大家所忽略，因此才有本文的研究。当一台打印机连接网络，可以进行端口扫描、读写上传恶意文件、反弹shell，相当于一台服务器。

常见攻击，信息泄露，如访问内存，可能发现密码或打印文件中的敏感数据，访问文件系统，泄露配置文件或存储的打印作业;DOS;远程代码执行漏洞RCE，通过缓冲区溢出漏洞，构造恶意数据包，使打印机执行恶意代码，将固件更新为含有恶意的固件;打印任务控制，修改打印内容等。

二、打印机语言

在研究打印机前有必要熟悉打印语言，网上各种介绍打印机语言，大家看的会比较混乱，比如有时候是打印机描述语言，有时候又叫打印机控制语言。下面以本人的理解去介绍打印机语言，其实打印机语言按分类是有两类，一种是页面描述语言(PDL)，另一种是嵌入式语言(Escape码语言)，而HP的PCL控制语言和PostScript(以下简称 PS)都属于PDL页面描述语言。

1. PS与PCL介绍

PS、PCL等打印语言其实是一个命令集，它告诉打印机如何组织被打印的文档。打印机驱动程序把这些命令嵌在打印数据中传给打印机，而不是单独传送，并由打印机的打印控制器再分开解释。

PCL网上介绍的都差不多，PCL对计算机系统资源占用也较少，同时对字库、图像的解释能力较强等，关键还是把本文前面部分弄懂，否则会很混乱，不利于对打印机的漏洞研究。

2. 对比

PCL在处理文本、文档方面比较出色(已支持图形功能)，速度明显，但是打印质量与PS差距不大，PS在处理打印大的文件，如PDF、Photoshop等软件下打印大的图形图像文件有速度优势，准确度、色彩方面比PCL强。所以 PCL语言适用于普通的商务办公应用，PS适用于对图形和色彩准确度要求比较高的专业应用。

3. 工作流程

在计算机上将打印内容位图格式解释成标准的页面描述文件，为PostScript、PCL等格式，这种文件被传到打印机的控制器中，控制器将页面描述文件，发送给光栅图像处理器 (Raster Image Processor)，把PostScript、PCL格式解释成位图格式，打印机才可以打印位图格式的图像。

4. PJL

打印任务语言(PJL)用于指导打印机行为，利用PJL语言可以对打印任务执行管理性的更改设置，对打印文件形成有限管理控制，例如，在打印机文件系统下用户不经常留意的以下特定位置中，它可对打印文件执行存储删除操作。

其它打印机语言是PCL的扩展，如打印机作业语言PJL是 PCL的扩展，用于控制打印机的行为，上面提到PCL只处理内容，扩展的PJL则可以永久性的修改设备的设置，如印纸张大小和数量。而 PJL可以被用来执行DoS攻击、打印页面控制、读取文件系统和内存，甚至恶意固件更新。供应商往往只支持PJL 控制语言中的部分命令，并根据打印机的需要自行添加专有的功能。

5. PPD

PS、PCL都是一种与设备无关的打印机语言，它们只处理打印的内容，而与设备相关的分辨率、纸张大小它们不处理。PS 、PCL可以将打印内容解释成页面描述文件，这个文件会被控制器解析并打印。但是对譬如分辨率、纸张大小、进纸盒进行选择时，调用的是打印机描述(PostScript Printer Description ，即PPD)文件来实行各种打印机的不同特性，PS、PCL 语言在打印的时候，即定义图像时根本不用去考虑打印机的分辨率、纸张大小，由打印机的PPD文件来决定，给处理字体带来了极大的灵活性。

PPD文件主要提供以下与打印机有关的特定信息:：默认/ 最高分辨率，是否支持半色调监控，用户设定的监控信息，页面大小定义，页面可打印区域，默认字体(通常为Courier)，是否支持双面打印等等。每一种不同的 PostScript打印机都分别对应有专门的PPD文件。

关于PostScript仿真，因为目前使用PostScrit语言需要向 Adobe公司支付一笔费用，成本较高，因此才有与PostScript完全兼容的PostScript仿真，像 HP公司的一些激光打印机中使用的PostScript仿真，也无需再支付Adobe公司相应的费用。

6. 利用

PS可以用于各种攻击，例如拒绝服务，打印作业处理和保留以及访问打印机的文件系统等恶意操作。

打印机指令语言PCL很难被攻击利用，该页面描述语言不直接访问底层文件系统，因此和PS相比，该描述语言并不是很适合用于攻击的目的，不过PCL的扩展PJL容易受到攻击，下文基本上是基于PJL。

三、 探测打印机

1. namp-A 192.168.1.*

主要查看开放哪些端口，并检测操作系统指纹，一般开放如下端口、服务为打印机：

2. Savins打印机发现

SmartDeviceMonitor工具，可以搜索Savins打印机，去官网下载：

3. JetDirect打印机

JetAdminJetAdmin可用来控制、搜索JetDirect打印机，可快速找出子网中的JetDirect打印机，它通过SNMP广播网络来定位打印机。

4. ARP协议扫描

NMAP、Cain，通过MAC地址发现 Hewlett Packard、Ricoh或其它厂商的MAC地址。

nmap -R192.168.1.0/24 

5. 谷歌搜索

打印机的WEB登陆链接放置在内网站点上，易于他们管理或存储文档，但有时内网并不是真正处于内网中，但可以通过互联网访问到。

Ricoh Savins(由于打印机频繁地存储文档，导致被下载，这确实是一个真正的安全杀手)：

intitle:"web image monitor" 
"/web/user/en/websys/webArch/mainFrame.cgi" 
inurl:"/en/sts_index.cgi" 
HP Jetdirects (各型号均不相同) 
inurl:hp/device/this.LCDispatcher 
CUPS Connected Printers 
inurl:":631/printers" -php -demo 

6. 其它搜索

shodan搜索，device:printer。

钟馗之眼搜索，service:”jetdirect”。

四、漏洞挖掘

1. PJL密码爆破

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!