hacktricks/network-services-pentesting/pentesting-printers/scanner-and-fax.md

<details>

<summary><strong>通过</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>从零开始学习AWS黑客攻击！</strong></summary>

支持HackTricks的其他方式：

* 如果您想在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF**，请查看[**订阅计划**](https://github.com/sponsors/carlospolop)！
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family)，我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。**

</details>


# 扫描仪

对于多功能打印机/外围设备（MFPs）的扫描功能访问并没有标准化，似乎只有少数厂商对此任务应用PJL命令。公开文档缺失，[SANE项目](http://www.sane-project.org/sane-backends.html#SCANNERS)设法逆向工程了各种扫描设备的协议。在Brother多功能打印机上，可能使用专有的PostScript操作符\_brpdfscan。

**如何测试此攻击？**

安装特定型号的打印机驱动程序，并（滥用）扫描功能。

**谁可以执行此攻击？**

* 任何可以打印的人，如果可以通过[打印机控制](http://hacking-printers.net/wiki/index.php/Fundamentals#Printer_Control_Languages)或[页面描述](http://hacking-printers.net/wiki/index.php/Fundamentals#Page_Description_Languages)语言访问扫描功能
* 任何可以访问Web界面的人，在MFPs上可以通过Web界面扫描文档
* 只有能够访问某些网络服务的攻击者，如果使用单独的TCP端口进行扫描

# 传真

传真消息以音频频率的音调形式传输。它们可以发送到电话系统上任何具有传真功能的设备。因此，它们可能被用来绕过典型的公司保护机制，如TCP/IP防火墙或入侵检测系统，并在内部网络中的打印机或MFPs上执行恶意命令。在90年代中期，Adobe引入了‘PostScript传真’作为语言补充[\[1\]](http://hacking-printers.net/wiki/index.php/Fax_and_Scanner#cite_note-1)，允许兼容设备直接通过传真接收PostScript文件。这使得攻击者可以使用普通电话系统作为渠道，将恶意PostScript代码部署到打印机。不幸的是，PostScript传真从未确立自己的地位，只在少数设备中实现。相反，传真消息通常以图形图像（如[TIFF](https://en.wikipedia.org/wiki/TIFF#TIFF_Compression_Tag)）的形式传输。然而，不能排除其他厂商实现专有的传真扩展来**接收**任意PDL数据流，而不是原始传真图像。理论上，可以创建一个‘传真病毒’，它会通过感染基于MFPs通讯录中的号码或传统的电话自动拨号来传播。

此外，当今MFPs上的**外发**传真通常可以通过专有的PJL命令控制。这可以通过拨打0900号码（可能由攻击者本人注册）来给机构造成经济损失，或作为一个后门渠道泄露敏感信息。下面给出了通过PDL数据流发送传真的厂商特定示例。

### HP

根据[\[1\]](http://hplipopensource.com)，HP设备可以使用PML访问传真。

### Xerox

根据[\[2\]](http://www.office.xerox.com/support/dctips/dc02cc0280.pdf)，Xerox使用专有的PJL命令：`@PJL COMMENT OID_ATT_FAX_DESTINATION_PHONE "..."`

### Brother

根据[\[3\]](http://brother-mfc.sourceforge.net/faxlanguage.txt)，Brother使用专有的FCL（传真控制语言）：`<Esc>DIALNUM[ (...) ]`

### Lexmark

根据[\[4\]](https://www.lexmark.com/publications/pdfs/techref_WB.pdf)，Lexmark使用专有的PJL命令：`@PJL LFAX PHONENUMBER="..."`

### Kyocera

根据[\[5\]](http://material.karlov.mff.cuni.cz/people/hajek/bizhub/femperonpsc200mu.pl)，Kyocera使用专有的PJL命令：`@PJL SET FAXTEL = ...`

### Ricoh

根据[\[6\]](http://www.objectiflune.com/forum2/ubbthreads.php?ubb=showflat\&Number=29462\&page=1)，Ricoh使用专有的PJL命令：`@PJL ENTER LANGUAGE=RFAX`

\
**如何测试此攻击？**

安装特定型号的打印机驱动程序，并（滥用）传真功能。


<details>

<summary><strong>通过</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>从零开始学习AWS黑客攻击！</strong></summary>

支持HackTricks的其他方式：

* 如果您想在**HackTricks中看到您的公司广告**或**下载HackTricks的PDF**，请查看[**订阅计划**](https://github.com/sponsors/carlospolop)！
* 获取[**官方PEASS & HackTricks商品**](https://peass.creator-spring.com)
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family)，我们独家的[**NFTs系列**](https://opensea.io/collection/the-peass-family)
* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**telegram群组**](https://t.me/peass) 或在 **Twitter** 🐦 上**关注**我 [**@carlospolopm**](https://twitter.com/carlospolopm)**。**
* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。**

</details>