hacktricks/network-services-pentesting/pentesting-printers/scanner-and-fax.md

78 lines
6.5 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>
# Scanner
O acesso à funcionalidade de scanner em MFPs (impressoras/periféricos multifuncionais) não é padronizado e parece que apenas alguns fabricantes aplicam comandos PJL para essa tarefa. Documentação pública está ausente, o [projeto SANE](http://www.sane-project.org/sane-backends.html#SCANNERS) conseguiu engenharia reversa dos protocolos para vários dispositivos de scanner. Em MFPs da Brother, o operador proprietário PostScript \_brpdfscan pode possivelmente ser usado.
**Como testar esse ataque?**
Instale os drivers da impressora para o modelo específico e (ab)use da função de scanner.
**Quem pode realizar esse ataque?**
* Qualquer um que possa imprimir, se a funcionalidade de scanner puder ser acessada através de uma [linguagem de controle de impressora](http://hacking-printers.net/wiki/index.php/Fundamentals#Printer_Control_Languages) ou [linguagem de descrição de página](http://hacking-printers.net/wiki/index.php/Fundamentals#Page_Description_Languages)
* Qualquer um que possa acessar a interface web, em MFPs onde documentos podem ser digitalizados usando a interface web
* Apenas atacantes que possam acessar certos serviços de rede, se uma porta TCP separada for usada para digitalização
# Telefax
Mensagens de fax são transmitidas na forma de tons de frequência de áudio. Elas podem ser enviadas para qualquer dispositivo capaz de telefax disponível através do sistema telefônico. Portanto, elas poderiam potencialmente ser usadas para contornar mecanismos típicos de proteção de empresas como firewalls TCP/IP ou sistemas de detecção de intrusão e executar comandos maliciosos em impressoras ou MFPs em redes internas. No meio dos anos 90, a Adobe introduziu o fax PostScript como um suplemento de linguagem [\[1\]](http://hacking-printers.net/wiki/index.php/Fax_and_Scanner#cite_note-1), permitindo que dispositivos compatíveis recebessem arquivos PostScript diretamente via fax. Isso permite que um atacante use o sistema telefônico comum como um canal para implantar código PostScript malicioso em uma impressora. Infelizmente, o fax PostScript nunca se estabeleceu e foi implementado apenas em um punhado de dispositivos. Em vez disso, mensagens de telefax são tipicamente transmitidas como imagens gráficas como [TIFF](https://en.wikipedia.org/wiki/TIFF#TIFF_Compression_Tag). No entanto, não se pode descartar que outros fabricantes implementem extensões proprietárias de fax para receber fluxos de dados PDL **inbound** em vez de imagens de fax brutas. Teoricamente, um vírus de fax poderia ser criado que se espalharia infectando outros dispositivos com base em números da agenda de endereços dos MFPs ou por wardialing tradicional.
Além disso, o fax **outbound** muitas vezes pode ser controlado por comandos PJL proprietários nos MFPs de hoje. Isso pode ser usado para causar perda financeira a uma instituição ligando para um número 0900 (que pode ser registrado pelo próprio atacante) ou como um canal de retorno para vazar informações sensíveis. Exemplos específicos de fabricantes para enviar fax via fluxos de dados PDL são dados abaixo.
### HP
De acordo com [\[1\]](http://hplipopensource.com), o fax pode ser acessado usando PML em dispositivos HP.
### Xerox
De acordo com [\[2\]](http://www.office.xerox.com/support/dctips/dc02cc0280.pdf), a Xerox usa comandos PJL proprietários: `@PJL COMMENT OID_ATT_FAX_DESTINATION_PHONE "..."`
### Brother
De acordo com [\[3\]](http://brother-mfc.sourceforge.net/faxlanguage.txt), a Brother usa a linguagem proprietária FCL (Fax Control Language): `<Esc>DIALNUM[ (...) ]`
### Lexmark
De acordo com [\[4\]](https://www.lexmark.com/publications/pdfs/techref_WB.pdf), a Lexmark usa comandos PJL proprietários: `@PJL LFAX PHONENUMBER="..."`
### Kyocera
De acordo com [\[5\]](http://material.karlov.mff.cuni.cz/people/hajek/bizhub/femperonpsc200mu.pl), a Kyocera usa comandos PJL proprietários: `@PJL SET FAXTEL = ...`
### Ricoh
De acordo com [\[6\]](http://www.objectiflune.com/forum2/ubbthreads.php?ubb=showflat\&Number=29462\&page=1), a Ricoh usa comandos PJL proprietários: `@PJL ENTER LANGUAGE=RFAX`
\
**Como testar esse ataque?**
Instale os drivers da impressora para o modelo específico e (ab)use da função de fax.
<details>
<summary><strong>Aprenda hacking no AWS do zero ao herói com</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Outras formas de apoiar o HackTricks:
* Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com)
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos
* **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-me no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
</details>