Your Printer is not your Printer ! - Hacking Printers at Pwn2Own - angelboy

# Your Printer is not your Printer ! - Hacking Printers at Pwn2Own - angelboy {%hackmd @HITCON/r1cl60dRc %} > 從這開始 Printer-IoT 只要把印表機接上外網，可能就很容易被人亂印東西。印表機是每間公司最常見的，大型企業可能會接上 ad，讓印表機有機會拿到機密資訊。去年 2021 pwn2own 多了印表機類別，但一開始嘗試失敗了，因為他是RTOS系統不是 Linux 三台印表機全部都打下來了，今天只講 canon hp 兩台怎麼分析的呢？當時沒拿到可用的韌體，都是混淆的，而且一定要實體拆解拆了裝不回去，所以要不要拆猶豫了很久，最後沒有拆用別的方式 canon 多功能事務機混淆過沒辦法用IDApro分析用韌體格式和特徵分析看看，NCSW 這個數值是大寫，Magic看其他都是混淆過的所以說不定舊版本可以解混淆？決定抓舊版，但是直接找不到，那分析下載網址看看找到是base64，發現是三個部分分別是 type ,model number, firmware version 後來找到了多個，以最新的為主但看完後發現第一個版本就混淆了，只好把所有版本都找出來，看有沒有類似的混淆方式全部有 130gb ，用 grep 找剛剛的 magic，NCSW有找到類似的東西很幸運的去解之後，終於找到明文字串下一步要找到imagebase，讓ida搭配才能用 rbasefind 工具可以找正常function 還是能看出來在幹嘛，可以用個小技巧，先找知道function name的位置，最後找到的是 0x40...，然後再用位置對應去反向找位移掃 9100 Port 就可以做怪怪的事 ## Printer are RTOS (Real time OS) ### HP 需要 dma attack ### Canon step1. firmware analysis - magic bytes: `NCFW` - firmware to firmware comparison - obtain the naming method and confusing way between versions step2. find the OS base - tips: find by known function to find images location - ARMv7 ### HP step 1. 拆解 or not step 2. Binwalk -Z - ARMv11 hp是 rtos threadx green hills ## attack surface 評估過服務後，決定找以下三個服務, 原因為廠商為自己開發而非使用opensource - SLP: server discovery protoval, - attribute request packet - function: `parse_scope_list`, `parse_scope_char` - buffer overflow!! - no Stack guard, and other protection - mDNS - BJNP - session stored in Global area - inject shellcode into global buffer - then buffer overflow to that section - LLMNR - function: `llmnr_` no length verification - DEP, MPU limitation - only can overflow 0x100 bytes - bypass by MMU (大神思維), overwrite the return address - translation table protect by MPU - ROP again to disable MPU - modify `LPD` function to become backdoor - flush I-cache and D-cache after pwned ## Debug No debug console because they didnt physically tear down the Use sleep to debugXD ROP -> Do something -> sleep -> reboot -> ROP slp 服務發現協定，讓區網內更容易找到印表機，是canon自己實作的只有 service （印表機）和 user 的情況使用者可以發 unicast封包找印表機 --- 開始講程式碼邏輯中找出 stack overflow，就可以來injection 發現沒有各種保護機制，對駭客非常友善 --- 找地方放 shell code 發現一個 BJNP 的服務發現協定，會把可控的 session 放上去這邊不講細節，只要知道可以放 global data 的 shell code 就好 ## 總結 1. bjnp put shell code 1. trigger 到底怎麼把logo印的螢幕上反而花很多時間，比賽時間快到了只好放棄，改成直接印message就好主辦方有印表機，然後印表機上的主選單螢幕出現攻擊者的訊息，就代表攻擊成功了要怎麼 debugger 又不拆機？頗麻煩找舊版本韌體來打能接上debug console 最好，但是本次debug 法是用 rop 做事 sleep reboot 的循環定期更新印表機關掉沒有在用的服務限制可以連線的身份 --- ###### tags: `HITCON2022`,`HITCON`

Syntax	Example	Reference
# Header	Header	基本排版
- Unordered List	Unordered List
1. Ordered List	Ordered List
- [ ] Todo List	Todo List
> Blockquote	Blockquote
Bold font	Bold font
Italics font	Italics font
~~Strikethrough~~	~~Strikethrough~~
19^th^	19^th
H~2~O	H₂O
++Inserted text++	Inserted text
==Marked text==	Marked text
[link text](https:// "title")	Link
![image alt](https:// "title")	Image
`Code`	`Code`	在筆記中貼入程式碼
```javascript var i = 0; ```	`var i = 0;`
:smile:		Emoji list
{%youtube youtube_id %}	Externals
$L^aT_eX$	L^aT_eX
:::info This is a alert area. :::	This is a alert area.