14 KiB
☁️ HackTricks क्लाउड ☁️ -🐦 ट्विटर 🐦 - 🎙️ ट्विच 🎙️ - 🎥 यूट्यूब 🎥
-
क्या आप किसी साइबर सुरक्षा कंपनी में काम करते हैं? क्या आप अपनी कंपनी को HackTricks में विज्ञापित देखना चाहते हैं? या क्या आपको PEASS की नवीनतम संस्करण या HackTricks को PDF में डाउनलोड करने की अनुमति चाहिए? सदस्यता योजनाएं की जांच करें!
-
खोजें The PEASS Family, हमारा विशेष NFT संग्रह
-
प्राप्त करें आधिकारिक PEASS और HackTricks swag
-
शामिल हों 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह में या मुझे ट्विटर पर फ़ॉलो करें 🐦@carlospolopm.
-
अपने हैकिंग ट्रिक्स को hacktricks रेपो और hacktricks-cloud रेपो में पीआर जमा करके साझा करें।
हाल के वर्षों में, प्रिंटर विक्रेताओं ने अपने उपकरणों पर कस्टम सॉफ़्टवेयर स्थापित करने की संभावना पेश की है। ऐसे 'प्रिंटर ऐप्स' का प्रारूप अपनी प्राथमिकता और एसडीके सार्वजनिक रूप से उपलब्ध नहीं है। सॉफ़्टवेयर कोड को प्रिंटर प्रदाता ही नहीं बल्कि उन विकासकों द्वारा भी लिखा जाता है जो अपने सॉफ़्टवेयर को साइन करने के लिए गुप्त कुंजी के स्वामित्व में होने की आवश्यकता होती है। इसलिए, विकासकों के माध्यम से उपलब्ध होने वाले एसडीके में गुप्त कुंजी को शामिल करना तार्किक है। इस लेख का उद्देश्य विक्रेता-विशेष सॉफ़्टवेयर प्लेटफ़ॉर्म / एसडीके पर जानकारी संग्रहीत करना है।
विक्रेता
निम्नलिखित में प्रमुख प्रिंटर विक्रेताओं द्वारा उनके उपकरणों की क्षमता को विस्तारित करने के लिए प्रदान की जाने वाली सॉफ़्टवेयर प्लेटफ़ॉर्म के बारे में एक आँकड़ा दिया गया है।
एचपी चाई / ओएक्सपी
एचपी ने 1999 में अपने लेजरजेट प्रिंटर पर जावा ऐप्लिकेशन चलाने के लिए अपनी 'चाई एप्लायंस प्लेटफ़ॉर्म' प्लेटफ़ॉर्म का परिचय किया। जबकि पहले एक एसडीके सार्वजनिक रूप से उपलब्ध था [2], बाद में इसे एचपी के डेवलपर नेटवर्क के सदस्यों के लिए सीमित कर दिया गया। चाई सर्वलेट्स जो .jar फ़ाइल्स के रूप में आते हैं, प्रिंटर उपकरण द्वारा सत्यापित और साइन किए जाने की आवश्यकता थी। [3] ने डिप्लॉयमेंट प्रक्रिया में एक दोष खोजा: एचपी द्वारा प्रदान की जाने वाली एक वैकल्पिक लोडर सॉफ़्टवेयर EZloader को स्थापित करके, उन्होंने अपने अपने, असाइन नहीं किए गए जावा पैकेज अपलोड और चलाए। ऐसा लगता है, चाई संस्करणों के लिए पूरी तरह से एचपी द्वारा कोड साइन करना पूरी तरह से छोड़ दिया गया था: [4] ने एक प्रिंटर मैलवेयर का प्रमाण-सिद्ध कोड लिखा और निष्पादित किया जो पोर्ट 9100 पर सुनता है और आने वाले दस्तावेज़ों को एक FTP सर्वर पर अपलोड करने से पहले उन्हें मुद्रित करता ह
Xerox/Dell EIP
‘Extensible Interface Platform’ [EIP](http://www.office.xerox.com/eip/enus.html) [6] को Xerox ने 2006 में विभिन्न MFPs के लिए विज्ञापित किया था। इस आर्किटेक्चर - जिसे कुछ rebadged Dell उपकरणों द्वारा भी समर्थित किया जाता है - वेब सेवा टेक्नोलॉजी पर आधारित है। SDK पंजीकृत डेवलपर्स के लिए मुफ्त में उपलब्ध है।
Brother BSI
‘Brother Solutions Interface’ [BSI](https://www.brother-usa.com/lp/civ/bsi.aspx) 2012 में भारत में लॉन्च किया गया एक XML-आधारित वेब आर्किटेक्चर है जो स्कैनर, कॉपियर और प्रिंटर के लिए है। SDK का उपयोग लाइसेंस प्राप्त करने वाले डेवलपर्स के लिए उपलब्ध है।
Lexmark eSF
‘Embedded Solution Framework’ [eSF](http://www.lexmark-emea.com/usa/BSD_solution_catalouge.pdf) 2006 में Lexmark MFPs के लिए लॉन्च किया गया था। जावा एप्लिकेशन विकसित करने के लिए SDK केवल 'विशेष योग्य साझेदारों' के लिए उपलब्ध है। [7] के अनुसार 'इन एप्लिकेशन्स को Lexmark द्वारा 2048-बिट RSA हस्ताक्षर का उपयोग करके अपनाया जाना चाहिए।'
Samsung XOA
‘eXtensible Open Architecture’ [XOA](http://samsungprintingsolutions.com/2015/02/can-samsungs-extensible-open-architecture-xoa/) 2008 में Samsung द्वारा पेश किया गया था और इसके दो रूप हैं: XOA-E जावा वर्चुअल मशीन और वेब सेवा आधारित XOA-Web। SDK केवल Samsung रिसेलर्स के लिए ही उपलब्ध है।
Ricoh ESA
‘Embedded Software Architecture’ [ESA](https://www.ricoh.com/esa/) [8] 2004 में Ricoh द्वारा लॉन्च किया गया था। जावा आधारित SDK/J पंजीकृत डेवलपर्स के लिए उपलब्ध है।
Kyocera/Utax HyPAS
‘Hybrid Platform for Advanced Solutions’ [HyPAS](http://usa.kyoceradocumentsolutions.com/americas/jsp/Kyocera/hypas_overview.jsp) [9] 2008 में Kyocera द्वारा रिलीज किया गया है। एप्लिकेशन या तो जावा पर आधारित होते हैं या वेब सेवाओं पर। SDK केवल 'HyPAS Development Partner Programme' के सदस्यों के लिए ही उपलब्ध है और एप्लिकेशनों को Kyocera द्वारा मंजूरी देनी होती है।
Konica Minolta bEST
‘bizhub Extended Solution Technology’ [bEST](https://best.kmbs.us/) [10] जो वेब सेवाओं पर आधारित है, उसे Konica Minolta ने 2009 में पेश किया था। SDK तक पहुंच के लिए डेवलपर प्रोग्राम में 'प्लैटिनम सदस्यता स्तर' की आवश्यकता होती है, जिसका शुल्क $4,000 है जो स्वतंत्र शोधकों के लिए बाहर है।
Toshiba e-BRIDGE
‘e-BRIDGE Open Platform’ [e-BRIDGE](http://www.estudio.com.sg/solutions_ebridge.aspx) 2008 में Toshiba द्वारा रिलीज किया गया था ताकि उनके हाई-एंड MFPs को वेब सेवा टेक्नोलॉजी पर आधारित कस्टमाइज़ किया जा सके। एक SDK सामान्य जनता के लिए उपलब्ध नहीं है।
Sharp OSA
‘Open Systems Architecture’ [OSA](http://siica.sharpusa.com/Document-Systems/Sharp-OSA) [11] 2004 में Sharp द्वारा विज्ञापित किया गया था। वेब सेवा विकसित करने के लिए उपयोग होने वाला SDK शुल्क आधारित है और एप्लिकेशनों को Sharp द्वारा मान्यता प्राप्त करनी होती है इससे पहले कि वे MFP पर स्थापित किए जा सकें।
Oki sXP
‘smart eXtendable Platform’ [sXP](http://www.oki.com/en/press/2014/09/z14053e.html) [12] जो वेब सेवा पर आधारित है, उसे Oki Data ने 2013 में अपने MFP उपकरणों के लिए लॉन्च किया था। Oki कोई आधिकारिक डेवलपर प्रोग्राम या सार्वजनिक उपलब्ध SDK के बारे में कोई जानकारी प्रकाशित नहीं करता।
परिणाम
पुराने HP लेजर प्रिंटरों पर, किसी भी जावा बाइटकोड को अवचयित रूप से निष्पाद
इस हमले का परीक्षण कैसे करें?
एक एसडीके प्राप्त करें और अपना खुद का प्रमाण-प्रमाणिक एप्लिकेशन लिखें या एक 'प्रिंटर ऐप' ढूंढें जो पहले से ही वह करता है जो आप चाहते हैं (उदाहरण के लिए, स्कैन किए गए दस्तावेज़ों को FTP पर स्वचालित रूप से अपलोड करें)। इसके अलावा यह भी जांचें कि उपकरण पर कस्टम सॉफ़्टवेयर स्थापित करने के लिए कौन से सुरक्षा तंत्र मौजूद हैं।
यह हमला किसकर सकता है?
सॉफ़्टवेयर पैकेज कैसे डिप्लॉय होते हैं इस पर निर्भर करेगा।