9100/tcp - PJL (Printer Job Language)

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Basiese Inligting

From here: Rou druk is wat ons definieer as die proses om ’n verbinding met port 9100/tcp van ’n netwerkdrukker te maak. Dit is die standaardmetode wat deur CUPS en die Windows printing architecture gebruik word om met netwerkdrukkers te kommunikeer, aangesien dit beskou word as ‘die eenvoudigste, vinnigste, en oor die algemeen die mees betroubare netwerkprotokol wat vir drukkers gebruik word’. Rou port 9100-druk, ook verwys as JetDirect, AppSocket of PDL-datastream, is eintlik nie ’n drukprotokol op sigself nie. In plaas daarvan word alle gestuurde data direk deur die druktoestel verwerk, net soos ’n parallelle verbinding oor TCP. In teenstelling met LPD, IPP en SMB, kan dit direkte terugvoer aan die kliënt stuur, insluitend status- en foutboodskappe. So ’n tweerigtingkanaal gee ons direkte toegang tot resultate van PJL, PostScript of PCL opdragte. Daarom word rou port 9100-druk – wat deur byna enige netwerkdrukker ondersteun word – gebruik as die kanaal vir sekuriteitsanalise met PRET en PFT.

As jy meer wil leer oor hacking printers read this page.

Standaardpoort: 9100

9100/tcp open  jetdirect

Enumerasie

Handmatig

nc -vn <IP> 9100
@PJL INFO STATUS      #CODE=40000   DISPLAY="Sleep"   ONLINE=TRUE
@PJL INFO ID          # ID (Brand an version): Brother HL-L2360D series:84U-F75:Ver.b.26
@PJL INFO PRODINFO    #Product info
@PJL FSDIRLIST NAME="0:\" ENTRY=1 COUNT=65535  #List dir
@PJL INFO VARIABLES   #Env variales
@PJL INFO FILESYS     #?
@PJL INFO TIMEOUT     #Timeout variables
@PJL RDYMSG           #Ready message
@PJL FSINIT
@PJL FSDIRLIST
@PJL FSUPLOAD         #Useful to upload a file
@PJL FSDOWNLOAD       #Useful to download a file
@PJL FSDELETE         #Useful to delete a file

Outomaties

nmap -sV --script pjl-ready-message -p <PORT> <IP>

msf> use auxiliary/scanner/printer/printer_env_vars
msf> use auxiliary/scanner/printer/printer_list_dir
msf> use auxiliary/scanner/printer/printer_list_volumes
msf> use auxiliary/scanner/printer/printer_ready_message
msf> use auxiliary/scanner/printer/printer_version_info
msf> use auxiliary/scanner/printer/printer_download_file
msf> use auxiliary/scanner/printer/printer_upload_file
msf> use auxiliary/scanner/printer/printer_delete_file

Printers Hacking tool

Dit is die tool wat jy wil gebruik om drukkers te misbruik: PRET

XPS/TrueType VM exploitation (Canon ImageCLASS)

• Stuur XPS oor PJL:

• @PJL ENTER LANGUAGE = XPS

• Stuur dan die XPS ZIP bytes oor dieselfde TCP-verbinding.

• Minimale XPS-bladsy wat na ’n attacker font verwys:

<Glyphs Fill="#ff000000" FontUri="/Resources/evil.ttf" FontRenderingEmSize="12" OriginX="10" OriginY="10"/>

• RCE primitive summary (TrueType hinting VM):

• Hinting bytecode in TTF is executed by a TrueType VM. Canon se VM het geen stack-bounds kontrole gehad.

• CINDEX: OOB stack read → info leak

• DELTAP1: unchecked relative stack pivot → controlled writes with subsequent pushes

• Combine WS/RS (VM storage write/read) to stage values and perform a precise 32-bit write after pivot.

• Exploit outline:

1. Skep ’n XPS met die bladsy hierbo en sluit /Resources/evil.ttf in.
2. In fpgm/prep, gebruik CINDEX om te leak en stack_cur te bereken.
3. Stage teikelwaarde met WS; pivot met DELTAP1 na die bestemming; gebruik RS om dit te skryf (bv. na ’n function pointer) om PC-beheer te verkry.

• Send over 9100/tcp:

{ printf "@PJL ENTER LANGUAGE = XPS\r\n"; cat exploit.xps; } | nc -q0 <PRINTER_IP> 9100

• exploit.xps is ’n geldige XPS ZIP wat Documents/1/Pages/1.fpage en /Resources/evil.ttf bevat.

Shodan

• pjl port:9100

Verwysings

• Hacking printers using fonts (Canon ImageCLASS TrueType VM bugs)
• Apple TrueType Reference Manual – Instruction Set and VM (26.6 fixed point)

Tip

Leer en oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Leer en oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Leer en oefen Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Ondersteun HackTricks

• Kyk na die subskripsie planne!
• Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
• Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.