国外黑客微信:不行忽视的打印机缝隙研讨

访客4年前 (2020-01-05)黑客工具822

国外黑客微信:不行忽视的打印机缝隙研讨

0×01 前语
经过最近一段时间检验，发现企业内网打印机存在多种缝隙，一起也常常被我们所疏忽，因而才有本文的研讨。当一台打印机联接 *** ，能够进行端口扫描、读写上传恶意文件、反弹shell，相当于一台服务器。
常见进犯，信息走漏，如拜访内存，或许发现暗码或打印文件中的敏感数据，拜访文件系统，走漏配置文件或存储的打印作业；DOS；长途代码履行缝隙RCE，经过缓冲区溢出缝隙，结构恶意数据包，使打印机履行4.尽量关闭不必要的文件同享权限。恶意代码，将固件更新为含有恶意的固件；打印使命操控，修正打印内容等。
0×02 打印机言语
在研讨打印机前有必要了解打印言语，网上各种介绍打印机言语，我们看的会比较紊乱，比方有时分是打印机描述言语，有时分又名打印机操控言语。下面以自己的了解去介绍打印机言语，其实打印机言语按分类是有两类，一种是页面描述言语（PDL），另一种是嵌入式言语（Escape码言语），而HP的PCL操控言语和PostScript（以下简称 PS）都归于PDL页面描述言语。
PS与PCL介绍
PS、PCL等打印言语其实 (国外黑客微信:不行忽视的打印机缝隙研讨) 是一个指令集，它告知打印机怎么安排被打印的文档。打印机驱动程序把这些指令嵌在打印数据中传给打印机，而不是独自传送，并由打印机的打印操控器再分开解说。
PCL网上介绍的都差不多，PCL对核算机系统资源占用也较少，一起对字库、图像的解说才能较强等，要害仍是把本文前面部分弄懂，否则会很紊乱，不利于对打印机的缝隙研讨。
比照
PCL在处理文本、文档方面比较超卓（已支撑图形功用），速度显着，但是打印质量与PS距离不大，PS在处理打印大的文件，如PDF、Photoshop等软件下打印大的图形图像文件有速度优势，准确度、颜色方面比PCL强。所以 PCL言语适用于一般的商务作业运用，PS适用于对图形和颜色准确度要求比较高的专业运用。
作业流程
在核算机大将打印内容位图格式解说成规范的页面描述文件，为PostScript、PCL等格式，这种文件被传到打印机的操控器中，操控器将页面描述文件，发送给光栅图像处理器 (Raster Image Processor)，把PostScript、PCL格式解说成位图格式，打印机才能够打印位图格式的图像。
PJL
打印使命言语（PJL）用于辅导打印机行为，运用PJL言语能够对打印使命履行办理性的更改设置，对打印文件构成有限办理操控，例如，在打印机文件系统下用户不常常留心的以下特定方位中，它可对打印文件履行存储删去操作。
其它打印机言语是PCL的扩展，如打印机作业言语PJL是 PCL的扩展，用于操控打印机的行为，上面说到PCL只处理内容，扩展的PJL则能够永久性的修正设备的设置，如印纸张巨细和数量。而 PJL能够被用来履行DoS进犯、打印页面操控、读取文件系统和内存，乃至恶意固件更新。供货商往往只支撑PJL 操控言语中的部分指令，并根据打印机的需求自行添加专有的功用。
PPD
PS、PCL都是一种与设备无关的打印机言语，它们只处理打印的内容，而与设备相关的分辨率、纸张巨细它们不处理。PS 、PCL能够将打印内容解说成页面描述文件，这个文件会 *** 控器解析并打印。但是对比如分辨率、纸张巨细、进纸盒进行挑选时，调用的是打印机描述(PostScript Printer Description ，即PPD)文件来实施各种打印机的不同特性，PS、PCL 言语在打印的时分，即界说图像时底子不用去考虑打印机的分辨率、纸张巨细，由打印机的PPD文件来决议，给处理字体带来了极大的灵活性。
PPD文件首要供给以下与打印机有关的特定信息:：默许/ 更高分辨率，是否支撑半色彩监控，用户设定的监控信息，页面巨细界说，页面可打印区域，默许字体(一般为Courier)，是否支撑双面打印等等。每一种不同的 PostScript打印机都别离对应有专门的PPD文件。
关于PostScript仿真，因为现在运用PostScrit言语需求向 Adobe公司付出一笔费用，本钱较高，因而才有与PostScript彻底兼容的PostScript仿真，像 HP公司的一些激光打印机中运用的PostScript仿真，也无需再付出Adobe公司相应的费用。
运用
PS能够用于各种进犯，例如拒绝服务，打印作业处理和保存以及拜访打印机的文件系统等恶意操作。
打印机指令言语PCL很难被进犯运用，该页面描述言语不直接拜访底层文件系统，因而和PS比较，该描述言语并不是很合适用于进犯的意图，不过PCL的扩展PJL简单遭到进犯，下文基本上是根据PJL。
0×03 勘探打印机
1.namp-A 192.168.1.*
首要检查打开哪些端口，并检测操作系统指纹，一般打开如下端口、服务为打印机：

2.Savins打印机发现
SmartDeviceMonitor东西，能够搜索Savins打印机，去官网下载：

3.JetDirect打印机
JetAdminJetAdmin可用来操控、搜索JetDirect打印机，可快速找出子网中的JetDirect打印机，它经过SNMP播送 *** 来定位打印机。
4.ARP协议扫描
NMAP、Cain，经过MAC地址发现 Hewlett Packard、Ricoh或其它厂商的MAC地址。
nmap -R192.168.1.0/24

5.谷歌搜索
打印机的WEB登陆链接放置在内网站点上，易于他们办理或存储文档，但有时内网并不是真实处于内网中，但能够经过互联网拜访到。
Ricoh Savins（因为打印机频频地存储文档，导致被下载，这确实是一个真实的安全杀手）：
intitle:"web image monitor"
"/web/user/en/websys/webArch/mainFrame.cgi"
inurl:"/en/sts_index.cgi"
HP Jetdirects (各类型均不相同)
inurl:hp/device/this.LCDispatcher

[1] [2] [3] [4] [5] [6] [7] 下一页

sort /data/portscan/po ???:???? rtresult/port.list | uniq > /data/portscan/portresult/port.list.tmp但随后便发现这个办法存在问题，引用Nmap官方文档如下：图2: 恶意值被覆写和删去GET /containers/json HTTP/1.1国外黑客微信:不行忽视的打印机缝隙研讨

经过研讨后，我发现在AMSI检查脚本之前，KES11的启发式检测机制或许根据签名的检测机制首要会处理我们的payload。毕竟我将payload紧缩了4次，成功绕过了AV，但仍会被AMSI检测：逆向工程malloc_chunk结构的悉数其他字段都会被用于用户或进程数据，并且不包含任何元信息。如图2所示，其间闪现了用户数据块分配的块（顶部）从fd构建到下一个块的 size字段的开端处，中心的悉数字段都被填充为灰色（标记为数据），其间就包含第二个块的prev_size字段。

hxxp://t.cn/RdBAka2是短链接，对应实践的地址为：3. 差错（Error）联接之后闪现三个GATT service，如下图所示：

use DoublePulsar有些人乍一看或许认为这只是一些勒索软件运用的人畜无害的图标（确实，不过左上角那个图标很乖僻），但是在将这些图标转化成不同的内部图像格式后，这些图标展示了其真面目。以下为Palo Alto Networks对该恶意软件的技术分析：autoindex off;

根据FOFA系统核算闪现，全球对外或许遭到影响的逾越750万台,我国或许有逾越133万遭到影响。其间全球约有542万的RDP服务和约有208万的 *** B协议服务运行在windows上（仅为分布情况，非实践缝隙影响），其间，我国区域逾越101万RDP服务对外打开， *** B协议逾越32万。根据白帽汇检验，从windows 2000到Windows2008都遭到这东西包中影响，成功率非常之高。其他，内部 *** 中也大多打开445端口和139端口，也将会成为黑客渗透内网的大杀器。设置设备的文件或目录的组悉数权为group，这或许是组名,或许是数字化组标识.国外黑客微信:不行忽视的打印机缝隙研讨

freeing 0x ???:???? 9846008备份办法：