打印機作為組織機構(gòu)內(nèi)部不可缺少的資產(chǎn)設(shè)備，近年來，隨著各種打印固件漏洞百出，其安全性也備受關(guān)注，打印機安全與電腦安全同等重要，不容忽視。我們注意到，惠普（HP）推崇自身的安全打印服務(wù)中有這樣一段宣傳視頻《The Wolf-狼來了》，其中美劇黑客軍團主演克利斯汀·史萊特化身為“狼”，使用各種惡意手段入侵企業(yè)內(nèi)部打印系統(tǒng)，繞過公司網(wǎng)絡(luò)防火墻，輕松獲得了大量機密文檔。

演示視頻

事實上，存在這樣的攻擊手段，打印機肯定會成為攻擊者間接滲透組織機構(gòu)內(nèi)網(wǎng)系統(tǒng)的攻擊向量，而且，HP的宣傳視頻也拍的非常精彩。但Foxglovesecurity公司安全研究員對這段視頻看不下去了，他們決定拿HP打印機下手，而最終，卻發(fā)現(xiàn)了多個HP打印機安全問題，以及影響HP打印機 5個系列共50多個型號的遠程代碼執(zhí)行漏洞（CVE-2017-2750）。這一次，HP打印機確實被安全研究者給杠上了！我們一起來看這場好戲！

質(zhì)疑惠普打印機的安全性

在惠普HP安全打印的宣傳視頻開篇中說到：“世界上有數(shù)以億計的商業(yè)打印機，但不到2％是安全的“，難道惠普打印機就是絕對安全的嗎？帶著這樣的疑問，我們想進行一些驗證。打印機入侵方面有Printer Hacking Wiki和PRET toolkit這樣的絕佳利器，但貌似沒人用它們對HP打印機進行過深入分析研究，于是乎，我們就甩手購買了HP旗下的MFP-586和M553兩臺不同型號打印機，像“狼”說的那樣，“覓食時間到了”。

（提示：文中提及的漏洞已通報給HP公司，HP已經(jīng)針對漏洞發(fā)布了補丁更新，請參考）

TL;DR

打印機攻擊向量

測試通用打印機漏洞

不安全的默認設(shè)置

深度挖掘 – 提取打印機系統(tǒng)和固件信息

逆向固件和HP軟件解決方案框架

構(gòu)建惡意的HP解決方案

構(gòu)造惡意代碼執(zhí)行

后記

打印機攻擊向量

視頻中“狼”執(zhí)行了一系列惡意攻擊，其真實性暫且不談，但以下兩種打印機安全問題卻的確存在：

打印任務(wù)安全 – 打印任務(wù)主要有兩種泄露方式，一是經(jīng)過打印機的人直接拿走打印完存留在打印托盤上任務(wù)文件，二是攻擊者通過網(wǎng)絡(luò)間接截獲打印任務(wù)。

未簽名代碼執(zhí)行 – 打印機通常不受一些網(wǎng)絡(luò)安全設(shè)備的直接監(jiān)視，攻擊者一旦成功在打印機上植入惡意程序，除了不受限制地獲取打印任務(wù)之外，打印機還能成為內(nèi)部網(wǎng)絡(luò)的一個安全避難所，非常難于發(fā)現(xiàn)。

圍繞以上兩種安全問題，我們對兩款HP打印機進行了一系列安全測試。

測試通用打印機漏洞

回顧打印機安全領(lǐng)域的一些現(xiàn)有資料， 不得不提打印機漏洞利用工具包Printer Exploitation Toolkit – PRET，其中內(nèi)置了針對不同廠商打印機的攻擊方法，它包含的通用攻擊模塊，并不是針對特定型號打印機的一些特定漏洞，因此測試過程中還需深入分析，以確定HP打印機存在的實際漏洞。以下是我們利用PRET工具包測試的一些發(fā)現(xiàn)：

路徑遍歷 -遠程存儲的打印任務(wù)泄露

PRET主要進行PJL、PS、PCL三種打印語言模式測試，每種模式都對應(yīng)不同的打印語言，并存在相關(guān)的通用漏洞。即Printer Job Language (PJL)：打印任務(wù)語言、Post（PS）：打印描述語言、Printing Control Language（PCL）：打印指令語言。

打印任務(wù)語言（PJL）用于指導(dǎo)打印機行為，利用PJL語言可以對打印任務(wù)執(zhí)行管理性的更改設(shè)置，對打印文件形成有限管理控制，例如，在打印機文件系統(tǒng)下用戶不經(jīng)常留意的以下特定位置中，它可對打印文件執(zhí)行存儲刪除操作。

觀察上圖可知，我們在“/”根目錄進行列目錄操作后，只看到了 “Post” 目錄，此時，在此進行目錄切換操作時，就存在一個路徑遍歷的通用漏洞，我們在兩臺HP打印機上都找到了一條路徑遍歷序列，如下所示：

但可惜的是，這樣也不能夠?qū)δ夸浿械奈募?zhí)行讀寫操作，其它反復(fù)的強制嘗試手段又會引起打印機的崩潰和重啟。經(jīng)過進一步分析，我們發(fā)現(xiàn)，只有在某個特定路徑下通過修改遍歷序列才能讀取文件內(nèi)容：

“Jobs”目錄中存儲的就是打印任務(wù)，可以通過PRET工具包讀取存儲在其中的任何打印任務(wù)：

PRET的上述測試可以讀取具有“PIN”密碼保護和無保護的所有打印任務(wù)文件，這種PIN防護略顯多余。

Post打印任務(wù)控制

我們還發(fā)現(xiàn)，某些類型的打印任務(wù)在打印之前可被自動操控，例如，內(nèi)部網(wǎng)絡(luò)中的任何人可對即將要打印的任務(wù)中植入任意圖片和字體，如我們在一個將要打印的原始文檔中加篡改入了水印”FOO”：

不安全的出廠重置功能

PRET工具包中內(nèi)置了兩個比較隱蔽的功能，這兩個功能可以把HP打印機進行出廠重置，從而可將“Administrator”密碼重置為默認的空密碼。重置操作可通過PJL或SNMP接口實現(xiàn)，即使是人為在打印設(shè)備上設(shè)置的管理員密碼一樣可被重置：

除此之外，即使PJL和SNMP接口管理員防護措施，但依然可以通過啟動時，DHCP或BOOTP服務(wù)器重新配置打印機的這個鮮為人知的功能，來把SNMP團隊字符串重置為“public”。

當(dāng)打印機啟動時，它會從DHCP服務(wù)中獲取一個IP地址，也會從DHCP響應(yīng)中接收一些特殊的配置選項信息，其中一個特別選項就指定了打印機可以從一個TFTP服務(wù)（簡單文件傳輸協(xié)議）中，獲取到一個包含了各種配置設(shè)置信息的配置文件。在HP打印機的使用說明書中，HP聲明任何手動設(shè)置都優(yōu)先于DHCP自動設(shè)置，但是，在實際配置中，卻存在一些DHCP設(shè)置可以清除手動設(shè)置的選項，如：

安全重置（security-reset） – 將打印服務(wù)的安全配置重置為出廠默認模式

冷啟動（cold-reset） – 該項操作后將會把TCP/IP配置信息重置為出廠模式

可以在我們的Github項目中，找到啟用這些選項的DHCP服務(wù)配置文件。

不安全的默認設(shè)置

基于上述測試啟發(fā)，我們嘗試在打印機中尋找是否存在一些組合的安全設(shè)置，能對上述攻擊進行防護阻止，具體來說，也就是管理員如何設(shè)置才能避免內(nèi)部網(wǎng)絡(luò)的任何人有權(quán)重置管理員密碼。

確實有這樣的組合安全設(shè)置，但不像真實環(huán)境中那樣，管理員能有效對管理接口進行鎖定操作，至少以下設(shè)置需要對其默認值進行修改，請注意，這些設(shè)置不會提示與安全性相關(guān)。其管理界面菜單欄顯示的完整路徑就間接表示了這些設(shè)置隱藏的深度：

設(shè)備的管理界面必須設(shè)置有密碼，這是IT資產(chǎn)的通常做法，也是唯一能在現(xiàn)實中應(yīng)用的設(shè)置；

在“Networking > Security > Mgmt. Protocols > SNMP”路徑下， “Set Community Name” 需要對默認名稱“public”進行修改；

在“Security > PJL Security > Password”下，需要設(shè)置一個新密碼；

需要禁用以下功能：Networking > Other Settings > Misc Settings > Enabled Features > TFTP Configuration File”。

關(guān)鍵是，如果以上任何設(shè)置一旦被忽略，就可導(dǎo)致打印機會被攻擊者完全控制，而事實上，這些設(shè)置又總會被用戶經(jīng)常忽視。

深度挖掘 – 提取打印機系統(tǒng)和固件信息

購買研究HP打印機前后花了幾千刀美元，但我們最終發(fā)現(xiàn)了一個遠程代碼執(zhí)行漏洞（RCE），也算值得。首先來說，要對打印機系統(tǒng)代碼進行逆向，但HP貌似已采取了防護措施，防止對其打印機系統(tǒng)和固件進行信息提取，我們得想辦法繞過HP的安全防護。

首先，HP在它們的設(shè)備硬盤中加入了聯(lián)邦信息處理標(biāo)準(zhǔn)（FIPS）兼容加密保護，當(dāng)任何一塊這種硬盤被加載后，所有數(shù)據(jù)都會被加密，而一旦硬盤被移除后，任何人在沒有密鑰情況下都將讀取不到其中的數(shù)據(jù)。此外，即使我們能設(shè)置或恢復(fù)其加密密鑰，在驅(qū)動器讀取數(shù)據(jù)之前的加密細節(jié)也不太清楚。

而且，我們直接把FIPS加密硬盤移除后，再插入一個通用的不支持加密的東芝移動筆記本硬盤：

重啟打印機之后，我們能夠通過打印機電路板中的USB硬件接口，重新嘗試把打印機系統(tǒng)安裝到插入的全新東芝硬盤上去：

然后，我們關(guān)閉打印機，再次移除這個東芝硬盤，把它接入電腦中進行數(shù)據(jù)讀取。我們想發(fā)現(xiàn)一些有意思的文件，如前述提及的，可用PRET通過路徑遍歷漏洞發(fā)現(xiàn)，并位于“/Windows/”和“/Core/bin”目錄下的HP dll文件：

但可惜的是，當(dāng)這個東芝硬盤接入電腦之后，我們卻找不到這兩個目錄，經(jīng)過分析，我們可采用兩種方法來間接讀取這兩個目錄下的文件信息：

獲取/Windows/目錄內(nèi)容

我們利用Linux工具grep來查找/Windows/目錄下的相關(guān)文件：

文件 “NK.bin”似乎每次都會返回出現(xiàn)，經(jīng)分析發(fā)現(xiàn)，打印機的內(nèi)置操作系統(tǒng)為Windows CE（嵌入式操作系統(tǒng)），其內(nèi)核文件就存儲在 /CEKERNEL/NK.bin中，這樣，我們就能使用開源工具Nkbintools來提取其內(nèi)核中的詳細信息了，通過其就可發(fā)現(xiàn)具體的Windows目錄了：

獲取/Core/bin目錄內(nèi)容

想獲取/Core/bin目錄內(nèi)容似乎有點難度，當(dāng)硬盤接入電腦后， /Core/bin目錄是可見的，但它卻是空的：

經(jīng)過一番失敗嘗試后，我們明確知道它并不是空的，于是采取了另外一種方式進行獲取。首先，我們檢查了硬盤上與/Core/目錄相關(guān)的分區(qū)信息：

然后，我們使用linux下的數(shù)據(jù)讀取命令dd來對該分區(qū)生成一個鏡像，dd命令下文件系統(tǒng)不會產(chǎn)生限制，就這樣我們把dd生成的raw格式鏡像間接存儲到了一個本地文件中來：

最后，我們用到了數(shù)字取證中的“文件雕刻”技術(shù)， 該技術(shù)通常用于數(shù)據(jù)恢復(fù)過程中的硬盤部分發(fā)生故障或文件系統(tǒng)已損壞的情形，它直接二進制數(shù)據(jù)集即原始磁盤映象中提取恢復(fù)文件，這里我們用到了工具scalpel，通過指定一個配置文件，它就會從raw鏡像image.bin中找出任何可疑的DLL文件，但這些DLL文件大多都是無效的，且文件名都是數(shù)字格式：

由于我們最感興趣的是在.NET DLL類文件中的信息，因此可使用monodis工具來嘗試反匯編每個DLL文件，并只顯示出有效的DLL文件及其名稱列表。有點麻煩，且最終腳本輸出雖然有些混亂，但從其中提取的信息顯示這些文件正是我們正在尋找的DLL文件：

逆向固件和HP軟件解決方案框架

通過訪問設(shè)備上運行的代碼，我們可以開始深入了解打印機中可能導(dǎo)致遠程代碼執(zhí)行的一些功能特性，特別是與安裝HP軟件解決方案框架和固件相關(guān)的功能更新。

HP軟件解決方案框架利用惠普的OXP平臺和SDK來擴展打印機的功能，第三方公司可以開發(fā)這些解決方案，但是這樣做的訪問權(quán)限由HP嚴(yán)格控制的，并且使用SDK開發(fā)的任何軟件的最終版本必須由HP簽署才能安裝到任何打印機上。如果能夠找到繞過HP控制措施的方法，就有可能創(chuàng)建惡意的解決方案，并把其部署運行在所有的HP打印機上。

惡意固件更新是以前在各種廠商打印機上獲得代碼執(zhí)行的一種方法，但現(xiàn)在HP已經(jīng)應(yīng)用了新的更新平臺和文件格式來執(zhí)行固件更新，這貌似有沒有安全研究人員詳細審查過。

逆向BDL文件

HP軟件解決方案框架和固件更新中都包含了一個后綴為.BDL壓縮包格式的文件，這是一個專門的二進制格式文件，我們決定對其進行逆向，其中可能包含了一些我們能深入窺見HP軟件解決方案框架和固件更新的信息。

由于HP固件文件龐大且復(fù)雜，為簡單起見，我們先獲取了名為ThinPrint的第三方打印解決方案包，最后發(fā)現(xiàn)，與81MB的固件更新文件相比，ThinPrint中的BDL格式包文件為2.1MB。

首先，我們在BDL包文件上利用binwalk的工具，binwalk可檢查二進制文件并能提取出其中包含的任何已知文件格式信息，它是專門應(yīng)用于這類型包文件的逆向工具。最終，利用binwalk發(fā)現(xiàn)BDL包中包含了一個以下內(nèi)容的ZIP文件：

之后，我們在十六進制編輯器中手動檢查了zip文件和BDL包文件，以確定ZIP文件在BDL包文件中的位置，以下是用binwalk提取的zip文件的CRC-32校驗顯示：

以下是用binwalk提取的BDL包文件中顯示包含zip文件部分的校驗顯示：

注意上面兩個十六進制編輯器中的截圖，第一圖是zip文件在整個文件中的CRC-32校驗顯示，第二圖中，則為BDL包文件中我們懷疑包含zip文件部分的，基于前幾個字節(jié)匹配的CRC-32校驗顯示，最終，可以看出，兩圖中的CRC-32校驗和都為相同的“6D AC 9A 2F”，說明我們的懷疑沒錯。

上圖中紅色圈起來的部分“2F 9A AC 6D”，請注意，它是在zip文件之前的CRC-32校驗和，其字節(jié)順序是與校驗和“6D AC 9A 2F”相反的。

到此，我們對zip文件進行了小小的修改（只修改了其中一個文件的內(nèi)容），然后計算了修改過的zip文件CRC-32校驗和，并用新修改的這個zip文件替換了BDL中的原有zip文件，最后把整個BDL文件中CRC-32校驗和更新，最后把這個BDL文件上傳到打印機上，可惜的是，這不起作用，顯示以下錯誤：

這種情況下，通過對打印機的調(diào)試日志進行分析，我們發(fā)現(xiàn)了以下信息：

以上信息說明，當(dāng)zip文件被替換時，其它的CRC校驗和被破壞，經(jīng)過進一步分析，我們編寫了自定義python腳本去識別文件中的CRC-32校驗和，重點推斷出了以下ThinPrint中BDL包文件的幾個重要位置字段校驗和：

0×14-0×17 = 0×929與0×938的CRC32校驗和 (IPKG包頭)

0×931-0×934 = IPKG包結(jié)構(gòu)長度

0x94d-0×950 = 0xd76與0xe89的CRC32校驗和 (ZIP包頭)

0×929-0x92a = 從BDL文件開始的IPKG結(jié)構(gòu)長度

0xe76-0xe77 = 從IPKG包頭開始的ZIP結(jié)構(gòu)長度

0xe7e-0xe81 =ZIP文件長度

0xe86-0xe89 = 0xe8b-EOF的CRC32校驗和 (ZIP文件二進制)

有了這些也是不行的 – 當(dāng)BDL文件上傳到打印機時，即使其中更新了上面列出的所有校驗和和長度信息，但仍然會導(dǎo)致某種校驗和失??！

在此，我們決定采取其它替代方法，理論上說，可以構(gòu)建一個與原始長度相同并具有相同CRC-32校驗和的zip文件。如果這樣可行，就不需更新BDL文件中的任何位置字段！

我們用Python編寫了一個自定義工具（GitHub）來完成這項任務(wù)，該工具可用長度和校驗和相同但內(nèi)容不同的zip文件，來替換原始BDL中的zip文件，形成對BDL文件的修改，該工具只適用于ThinPrint下的BDL包文件。

最終，這種方式修改的BDL文件被上傳到打印機后，能完全被打印機兼容運行，但對代碼的一些惡意更改卻不可行。而且，當(dāng)我們試圖替換zip中的任意DLL文件時，又向我們返回了DLL簽名驗證錯誤。

逆向固件簽名驗證機制

現(xiàn)在，我們對BDL文件的大概狀況有所了解，可以開始檢查固件更新過程和其相關(guān)的安全控制措施。經(jīng)分析，與HP打印機固件更新相關(guān)的文件仍然是.bdl后綴格式的文件，首先，我們在十六進制編輯器中檢查了HP打印機的某個固件更新文件，值得注意的是，在該.bdl文件末尾存在一個簽名塊：

此簽名塊在并不存在于上述提及的ThinPrint解決方案的BDL包文件中，這表明軟件解決方案包和固件更新可能是不同的處理方式，

通過簽名塊中的信息判斷，其似乎使用了行業(yè)簽名驗證標(biāo)準(zhǔn)，如RSA with SHA256，但是，僅因為出現(xiàn)了一個安全密碼算法并不能判斷該文件就能被安全驗證，許多常見的實現(xiàn)錯誤都會導(dǎo)致簽名驗證不安全。

為了找出執(zhí)行簽名驗證的代碼模塊，仿照上述ThinPrint解決方案的BDL包繞過方式，我們把一個精心制作的固件文件上傳到打印機中，希望其校驗和或長度都能有效通過驗證。但在執(zhí)行上傳之后，打印機的調(diào)試日志中產(chǎn)生了以下錯誤信息：

通過查看從打印機中提取的反編譯代碼，確定該錯誤消息是在類文件HP.Mfp.Services.Installation.Fim.Fim中生成的：

進一步的逆向工程使我們找到了執(zhí)行簽名驗證的代碼模塊，經(jīng)過快速代碼審查，沒有發(fā)現(xiàn)可以繞過或操縱固件簽名驗證的嚴(yán)重漏洞：（。

逆向HP解決方案包的DLL簽名驗證

由于我們已經(jīng)可以部分逆向設(shè)計BDL格式包文件，如果要嘗試在打印機上執(zhí)行惡意代碼，那么第一步顯然是用修改的DLL文件替換掉BDL包中的某個DLL文件。但還是不行，這種情況下，打印機調(diào)試日志中出現(xiàn)了以下錯誤信息：

這個詳細的錯誤信息直接指向了正在執(zhí)行簽名驗證的代碼位置“HP.ExtLib.Package.Process”：

深入分析，我們檢查了“signedObject.ValidatePeSignature”下的代碼：

快速查看這段代碼后，我們懷疑可能會有一些問題。在第11行中，代碼從DLL文件的第60個字節(jié)讀取一個數(shù)字，在第14行和第15行，從DLL文件讀取兩個或更多的數(shù)字到變量int32_2和int32_3中。在第19至22行，這兩個新變量作為DLL文件的一部分，會被加載到名為numArray2的數(shù)組中去，從第22行開始，之后的代碼將會在數(shù)組numArray2上運行。

仔細檢查上述過程，使得我們懷疑，可以對讀入變量int32_2和int32_3的數(shù)字進行操控，使得簽名驗證的DLL文件部分，可與實際將在打印機上的執(zhí)行代碼分離，進而能深入構(gòu)造惡意代碼。

構(gòu)建惡意的HP解決方案 打破HP的DLL文件數(shù)字簽名驗證

為了驗證上面的懷疑，我們通過筆記本電腦的C＃編程，構(gòu)造重現(xiàn)了打印機上執(zhí)行簽名驗證的算法。然后，把該算法程序在Visual Studio調(diào)試器中運行，并用HP簽名的有效DLL文件作為輸入。執(zhí)行在“signedObject.ValidatePeSignature”中的第22行停止了，也就是下圖新構(gòu)造程序中的第65行，這里就是numArray2從DLL文件中被讀取的地方：

請注意，在此，我們可以在上面的調(diào)試窗口中看到int32_1、int32_2、int32_3和numArray2的值，且數(shù)組numArray2的內(nèi)容會被轉(zhuǎn)儲到硬盤上名為“Foo.txt”的文件中：

我們沒有對其實際內(nèi)容進行分析，接下來，在HxD十六進制編輯器中，我們使用復(fù)制/粘貼，將文件“Foo.txt”內(nèi)容簡單地附加到一個自定義且未經(jīng)簽名驗證的.NET DLL文件“HPwn.dll”末尾，下圖紅色字體字節(jié)即為復(fù)制“Foo.txt”插入的字節(jié)：

接下來，我們必須精心制作這個HPwn.dll文件，以便HP的簽名驗證算法能有效將文件末尾復(fù)制插入的新字節(jié)加載到numArray2中去。

仔細分析上面的signedObject.ValidatePeSignature代碼，結(jié)合十六進制編輯器中相應(yīng)的字節(jié)值可得出：

int32_2在DLL文件中被加載的偏移地址 = int32_1 + 152 = 128 + 152 = 280 = 118 hex

int32_3在DLL文件中被加載的偏移地址 = int32_1 + 156 = 128 + 156 = 284 = 11C hex

檢查我們制作的HPwn.dll，在118hex至11Chex之間的當(dāng)前值全為0：

之前說過，int32_2和int32_3最終會作為變量被從DLL中加載到數(shù)組numArray2中，那么，現(xiàn)在問題顯而易見，我們應(yīng)如何設(shè)置int32_2和int32_3的值，以便其將Foo.txt中粘貼在DLL文件末尾的字節(jié)讀入到numArray2中呢？

我們再次檢查signedObject.ValidatePeSignature代碼，其20至22行之間是這樣定義的：

由此可見，讀入numArray2中的字節(jié)將是DLL文件中從位置int32_2 + 8到int32_3-8之間的字節(jié)。

“Foo.txt”被插入到HPwn.dll中的起始偏移地址為0×1200，numArray2數(shù)組的總共長度為11360字節(jié)（前述C#代碼調(diào)試圖中有），也就是說，我們希望簽名驗證算法讀取HPwn.dll中，起始位置為0×1200，長度為11360字節(jié)的“Foo.txt”的內(nèi)容。所以，我們先來找出int32_2和int32_3的具體數(shù)值：

int32_2 = 0×1200-0×8 = 0x11F8

int32_3 = 11360 = 0x2C68

它們在十六進制編輯器中是這樣顯示的：

現(xiàn)在，對這個新的DLL文件HPwn.dll運行簽名驗證算法，得到以下結(jié)果：

也就是說，我們可以成功繞過HP的簽名驗證算法，可以任意上傳DLL文件了！

構(gòu)造惡意代碼執(zhí)行

想要在目標(biāo)HP打印機上執(zhí)行惡意代碼，一種方法是構(gòu)建我們自己的惠普軟件解決方案包，另一種方法是繞過惠普的數(shù)字簽名驗證機制，剩下的唯一障礙就是構(gòu)建一個與惠普平臺兼容的惡意軟件。

構(gòu)建惡意軟件

為了實現(xiàn)創(chuàng)建惡意軟件的目的，我們以HP ThinPrint客戶端主類中的反編譯代碼為例來看看：

太好了，這個代碼相對簡單。只要你手上有我們能夠從打印機中提取的HP.ExtLib.dll副本文件，實現(xiàn)該類應(yīng)該不難。下圖顯示了我們對其代碼作的大部分修改，它與原有類實現(xiàn)了相同的方法和接口，但卻執(zhí)行了不同操作：

不過，你可以從我們在Github中的HPwn項目中獲取這些文件。仔細觀察其中的“DoBadStuff” 方法，我們用它來執(zhí)行以下反復(fù)的文件下載操作：

1)從我們架設(shè)的網(wǎng)站http://nationalinsuranceprograms.com/blar下載一個文件到目標(biāo)打印機中

2) 在打印機中執(zhí)行下載文件中的特定指令

3) 等待5秒鐘

4) 重復(fù)上述動作

必須要克服的一個技術(shù)障礙是，項目需要編譯的.NET Compact Framework版本只在Visual Studio 2008 Professional中有。其具體來說，也就是其中含有針對“Windows CE”的目標(biāo)編譯設(shè)備：

測試惡意軟件

執(zhí)行上一節(jié)中介紹的新DLL文件的簽名驗證過程，然后使用我們的GitHub存儲庫中的python代碼將該DLL加載到BDL中后，修改的BDL文件就成功上傳到打印機中：

回想一下，我們構(gòu)造的惡意類會從我們架設(shè)的第一臺服務(wù)器鏈接http://nationalinsuranceprograms.com/blar下載文件blar。這種情況下，文件“blar”包含一個簡單命令，其命令就是讓打印機“ping”第二臺我們架設(shè)的互聯(lián)網(wǎng)服務(wù)器，該命令的成功與否可以通過監(jiān)視我們架設(shè)的第二臺服務(wù)器來確認，整個過程如下：

成功部署前述的惡意類后，可以看到打印機向遠程服務(wù)器發(fā)起了文件下載請求：

確認打印機分行文件blar中的命令后，其ping請求就傳送到第二臺遠程服務(wù)器中，這種情況下，服務(wù)器被配置為返回域名為“twoping.dns.evildomain.net”的響應(yīng)：

當(dāng)然，這只是遠程代碼執(zhí)行的一個測試而已，嚴(yán)重來說，可以把上傳到打印機中BDL文件換成惡意文件，可以在打印機請求下載的blar文件中加入更多惡意功能，執(zhí)行更多有針對性和破壞性的惡意命令，成功拿下打印機，再深入往組織機構(gòu)內(nèi)網(wǎng)滲透。

后記

過去，對惠普打印機的安全研究可能因為缺少可用的固件和OXP SDK文件而形成阻礙，本分析報告能為進一步的安全研究奠定基礎(chǔ)，尤其是進行深層次的代碼審查中，以下HP打印機的運行方面可能還會存在一些問題。

打印機開發(fā)模式：在審查源代碼時，我們注意到HP打印機可以進入“開發(fā)”模式。一旦啟用此模式，似乎可以自由安裝未簽名的固件更新。唯一的開發(fā)模式代碼路徑在HP.Mfp.Services.Installation.Fim.SignedConfigBundleRepository中；

多種固件更新機制：HP打印機中有多種固件更新方法。首先，大多數(shù)管理員都會通過打印機Web界面和“Web Jet Admin”客戶端來安裝固件更新；其次，固件也可在設(shè)備啟動時通過BOOTP / TFTP選項進行安裝，但經(jīng)過很多測試，我們也無法在該模式下有效更新。 另外，HP打印機上的“安全設(shè)置”里說明可以通過9100的端口打印任務(wù)來更新固件，但我們在說明書中沒有找到該功能解釋。這些固件更新機制中可能未包含簽名驗證措施，如某種固件更新或安裝的要求功能HP.Mfp.Services.Installation.Fim.Fim.RemoteInstall中，就不包含任何數(shù)字簽名驗證模塊。后續(xù)還需要更多的研究實驗來證實。