hacktricks/network-services-pentesting/pentesting-printers/scanner-and-fax.md

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks 云 ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 推特 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 YouTube 🎥</strong></a></summary>

- 你在一个**网络安全公司**工作吗？想要在 HackTricks 中看到你的**公司广告**吗？或者想要获得**PEASS 的最新版本或下载 HackTricks 的 PDF**吗？查看[**订阅计划**](https://github.com/sponsors/carlospolop)！

- 发现我们的独家 NFT 收藏品[**The PEASS Family**](https://opensea.io/collection/the-peass-family)

- 获得[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)

- **加入**[**💬**](https://emojipedia.org/speech-balloon/) [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass)，或者**关注**我在**Twitter**上的[**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**。**

- **通过向 [hacktricks 仓库](https://github.com/carlospolop/hacktricks) 和 [hacktricks-cloud 仓库](https://github.com/carlospolop/hacktricks-cloud) 提交 PR 来分享你的黑客技巧**。

</details>


# 扫描仪

对于多功能打印机/外围设备（MFP），访问扫描功能并没有标准化，似乎只有少数供应商使用 PJL 命令来执行此任务。公开的文档缺失，[SANE 项目](http://www.sane-project.org/sane-backends.html#SCANNERS)成功地对各种扫描设备的协议进行了逆向工程。在 Brother MFP 上，可能会使用专有的 PostScript 运算符 \_brpdfscan。

**如何测试此攻击？**

安装特定型号的打印机驱动程序并（滥用）使用扫描功能。

**谁可以执行此攻击？**

* 任何可以打印的人，如果扫描功能可以通过[打印机控制](http://hacking-printers.net/wiki/index.php/Fundamentals#Printer_Control_Languages)或[页面描述](http://hacking-printers.net/wiki/index.php/Fundamentals#Page_Description_Languages)语言访问
* 任何可以访问 Web 界面的人，如果可以使用 Web 界面扫描文档的 MFP
* 只有可以访问特定网络服务的攻击者，如果扫描使用单独的 TCP 端口

# 传真

传真消息以音频频率音调的形式传输。它们可以发送到电话系统上可用的任何支持传真的设备。因此，它们有可能用于绕过典型的公司保护机制，如 TCP/IP 防火墙或入侵检测系统，并在内部网络中执行恶意命令，以控制打印机或 MFP。在 90 年代中期，Adobe 引入了“PostScript 传真”作为一种语言补充[【1】](http://hacking-printers.net/wiki/index.php/Fax_and_Scanner#cite_note-1)，允许兼容设备直接通过传真接收 PostScript 文件。这使得攻击者可以使用普通电话系统作为部署恶意 PostScript 代码的通道。不幸的是，PostScript 传真从未得到普及，只在少数设备上实现。相反，传真消息通常以图像的形式传输，如[TIFF](https://en.wikipedia.org/wiki/TIFF#TIFF_Compression_Tag)。然而，不能排除其他供应商实现了专有的传真扩展，以接收任意 PDL 数据流而不是原始传真图像。理论上，可以创建一种“传真病毒”，通过感染 MFP 地址簿中的号码或传统的拨号方式来传播。

此外，今天的 MFP 上的**出站**传真通常可以通过专有的 PJL 命令进行控制。这可以用于通过拨打 0900 号码（可能由攻击者自己注册）造成机构的财务损失，或作为泄露敏感信息的后渠道。以下是使用 PDL 数据流发送传真的供应商特定示例。

### HP

根据[【1】](http://hplipopensource.com)，可以使用 PML 在 HP 设备上访问传真。

### Xerox

根据[【2】](http://www.office.xerox.com/support/dctips/dc02cc0280.pdf)，Xerox 使用专有的 PJL 命令：`@PJL COMMENT OID_ATT_FAX_DESTINATION_PHONE "..."`

### Brother

根据[【3】](http://brother-mfc.sourceforge.net/faxlanguage.txt)，Brother 使用专有的 FCL（传真控制语言）：`<Esc>DIALNUM[ (...) ]`

### Lexmark

根据[【4】](https://www.lexmark.com/publications/pdfs/techref_WB.pdf)，Lexmark 使用专有的 PJL 命令：`@PJL LFAX PHONENUMBER="..."`

### Kyocera

根据[【5】](http://material.karlov.mff.cuni.cz/people/hajek/bizhub/femperonpsc200mu.pl)，Kyocera 使用专有的 PJL 命令：`@PJL SET FAXTEL = ...`

### Ricoh

根据[【6】](http://www.objectiflune.com/forum2/ubbthreads.php?ubb=showflat\&Number=29462\&page=1)，Ricoh 使用专有的 PJL 命令：`@PJL ENTER LANGUAGE=RFAX`

\
**如何测试此攻击？**

安装特定型号的打印机驱动程序并（滥用）使用传真功能。


<details>
- **加入** [💬](https://emojipedia.org/speech-balloon/) [Discord 群组](https://discord.gg/hRep4RUj7f) 或 [Telegram 群组](https://t.me/peass) 或 **关注**我的 **Twitter** [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks_live)**。**

- **通过向 [hacktricks 仓库](https://github.com/carlospolop/hacktricks) 和 [hacktricks-cloud 仓库](https://github.com/carlospolop/hacktricks-cloud) 提交 PR 来分享你的黑客技巧**。

</details>