都說印表機不安全，那究竟有多少種黑掉它的姿勢呢？

在辦公室里，最容易被黑掉的設備是什麼呢？

電腦？手機？路由？

不不不，都不是。現在想黑掉這些設備，需要等待機會，比如有一枚特別好使的漏洞（像最近 Windows上的永恆之藍漏洞）。

有個設備不在關注視線內，但比上面的設備都容易黑多了，那就是印表機。

現代印表機大多具備聯網功能，使用安全特性極少的嵌入式系統，內核老舊固件更新很麻煩，是天然的攻擊載體。

過去國內外已經出現過多起案例，比如有黑客通過內部印表機入侵銀行、運營商網路，進去盜竊。為了提醒大家目前的印表機安全做得很差，有位英國高中生曾經利用公開漏洞黑掉了15萬台印表機，列印出一堆字元表情包。

一台印表機到底可以怎樣被黑掉呢？嘶吼編輯今天就來給大家科普，以下內容均來自Hacking Printers Wiki，一個匯聚各種印表機安全知識的百科網站。

拒絕服務

印表機的處理資源是有限的，處理器、內存、帶寬在內的幾大塊，只要其中一塊資源被過多消耗，它就無法工作。換句話說，只要你可以連接印表機，你便能讓別人無法列印。

大多數公司沒法使用印表機並不會造成什麼嚴重後果，但印刷廠例外，即使是極短暫的停機，也會遭受經濟損失。

方法一：傳輸通道

大多數印表機都是隊列處理，每次只能處理一個任務。如果一個任務總不髮結束信號，就能一直佔據列印通道，直到觸發超時。

向印表機的9100/tcp埠群發請求，建立連接後不發送關閉請求，便可以耗盡印表機的帶寬資源。

在區域網內尋找印表機

緩解方法：為印表機設置較高的超時時間

方法二：文檔處理

在列印文檔的描述語言中添加無限循環之類需要耗費大量計算資源的代碼，讓印表機的圖像處理功能始終處於忙碌狀態。

使用PostScript、PJL語言都可以做到，極少數具有監督機制的印表機會在十分鐘後自動重啟，一部分會在30分鐘後中斷掉任務，大多數印表機需要手動去關閉任務。

緩解方法：重啟

方法三：物理損壞

印表機的存儲介質是NVRAM（包括EEPROM和快閃記憶體），使用壽命有限，廠商保證大約是10萬次擦寫次數。使用重複擦寫命令可以快速消耗掉印表機的存儲介質壽命。

經測試20台激光印表機，有8台設備在24小時內有損壞。

提權攻擊

本類別主要介紹繞過印表機的保護機制、擴展攻擊者能力的方法。

方法一：重置為默認狀態

將印表機重置為出廠默認狀態是一項很有用的技巧，它可以去除用戶保護密碼這類安全機制。一般來說，在印表機上操作組合鍵可以將其重置為出廠默認狀態，但這個難度頗高，得物理接觸。

然而，印表機廠商的實現偏差讓在線重置成為可能。使用SNMP、PJL、PostScript等命令，都有可能重置一台印表機。只需要你連上它的9100/tcp埠，發送命令即可。

方法二：繞過審計系統

由於執行列印配額、安全風險等原因，一些複印店、學校、安全公司會使用審計系統限制內部成員使用印表機，

通常有兩種手段，一種是特製的印表機驅動程序，這裡不做討論；另一種是搭建獨立的審計系統伺服器，列印請求經過該系統審查，然後轉發給印表機。

常見的列印作業系統有LPRng、CUPS，它們兩的某個版本都存在繞過漏洞。如果你可以連接上列印伺服器，執行測試命令便可以繞過了。

繞過限制後可以幹什麼呢？無限制的列印文檔、假冒其他人名義列印特殊文檔以及更進一步攻擊都可以。

方法三：訪問傳真機和掃描儀

多功能印表機上，大多附帶傳真機和掃描儀兩個功能。如果你能訪問它們，便能有更多獲得敏感信息的機會。

傳真功能基本都有標準化命令，不同品牌印表機使用不同命令。安裝好相應型號的驅動程序，連上印表機執行命令即可。

掃描儀功能沒有標準化命令，似乎只有少數廠商公布過相關的PJL命令，公共文檔缺失。你可以在這個網站上找自己型號的命令。操作和傳真功能一樣。

訪問列印隊列

一台印表機上，最有價值的數據是列印隊列里的文檔。這些文檔平常都被嚴密保護，而在印表機里，你可以自由查看編輯。

方法一：獲取列印隊列的文檔

少數印表機會在Web伺服器里存儲列印的文檔，比如惠普DesignJet Z6100ps，但大部分是沒有的。

這時你可以使用標準PJL命令或者專有PostScript命令開啟文檔保留功能，它們保存在內存中，可以通過控制面板再次列印。這類的限制較高，需要你物理接觸印表機把留存的文檔列印出來。

方法二：編輯列印的文檔

如果攻擊者能修改列印的結果，是否從根本上破壞了印表機的信任？下邊將介紹兩種基於PostScript的技巧。

第一種是內容覆蓋，PCL命令可以在文檔頂部疊加內容，但僅限當前的列印文檔，無法長久保持。使用PostScript去重新定義頁面操作，能在列印文檔上疊加任意的圖形文字，比如加個惡搞的表情，把某段內容變成空白，這在商戰中防不勝防。

在列印文檔上添加表情

第二種內容替換的成功率不是太好，和第一種方法類似，但更麻煩。該方法在LaTeX文檔上測試成功過，其它格式還在努力研究中。

信息泄漏

除了列印文檔外，印表機還可以泄漏其它敏感信息。

方法一：訪問內存

如果攻擊者可以訪問印表機內存，就有可能獲得密碼或列印文檔等敏感信息。如果擁有寫入許可權，還可能導執行任意命令。

Brother、施樂等品牌的印表機曾曝光過此類漏洞。

方法二：訪問文件系統

印表機一般無法直接訪問文件系統，但少數型號為了提升列印質量，開放了訪問許可權，用戶可以下載字體、圖形放進去。

這類印表機一旦聯網，將存在嚴重安全隱患，可以檢索敏感信息、查看列印隊列等，甚至引發遠程命令執行。

惠普LaserJet系列、柯尼卡美能達bizhub MFP系列、OKI激光印表機等產品都曾曝光過類似漏洞。

方法三：爆破密碼

印表機出廠默認狀態下通常沒有密碼或通用密碼，用戶需主動設置密碼才能保護設備。

但這類設備對爆破沒有任何防護，16位key（二進位）的密碼，最多6小時就能解開。少數早期惠普印表機存在密碼泄漏漏洞，發送一條請求即可獲知密碼。

代碼執行

任何計算設備都可能存在代碼執行漏洞，印表機也不例外。目前大部分印表機支持兩種外部代碼執行方式：固件更新、安裝其它軟體包。

方法一：緩存區溢出

像印表機這類嵌入式設備，通常沒有ASLR、NX/DEP、用戶態等保護機制，因此所有代碼都是以root用戶運行。

CVE-2010-0619：影響利盟激光印表機

LPD守護進程緩存區溢出：影響惠普LaserJet系列、戴爾3110cn、京瓷FS-C5200DN和三星MultiPress 6345N等印表機

方法二：固件更新安全

由於歷史原因，印表機的固件更新要求許可權極低，普通列印者就可操作。後來各家廠商慢慢意識到危險，開始要求固件更新檢查數字簽名。

目前惠普、佳能、利盟、施樂使用數字簽名進行固件更新驗證，理光聲稱只有維修人員有密碼可以執行固件更新，柯尼卡美能達稱使用哈希值進行驗證，其它品牌尚無公開信息。

方法三：軟體包安全

近些年來，印表機廠商開始推出可安裝軟體的印表機，它們為開發商提供SDK開發定製軟體。

印表機上只有帶廠商代碼簽名的軟體才能安裝，要獲得類似簽名的可能性極小，但廠商自身的安全開發流程也很重要。

惠普曾經公開過SDK，被用戶找到了繞過簽名安裝軟體的方法，後來惠普不再公開SDK。其它廠商的SDK也不對大眾開放。

目前主流印表機軟體平台的SDK信息統計

最後

本文旨在科普印表機的安全狀況，向大眾普及安全意識、引導印表機廠商加強對產品安全性的認識。請大家合理合法利用文中資源，不要幹壞事哦。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！