披着狼皮的羊——寻找惠普多款打印机中的RCE漏洞(20)

在打印机上实际运行文件中的命令立即传送到了第二台服务器，在这种情况下，服务器被配置为打印出对其请求的任何域名。它开始打印“twoping.dns.evildomain.net”：

九、未来的工作
过去对惠普打印机的研究似乎因为缺乏可用的固件文件和OXP SDK而受到阻碍。例如下面PrinterHacking Wiki所说的：
对于较新的设备，惠普使用基于“开放式扩展平台”（OXP）的Web服务，而不是使用没有公开可用的SDK。
这是OXP SDK的可用信息，并且没有关于BDL文件格式的信息，本报告为进一步工作奠定了基础，特别是在进一步深入代码审查后，对以下领域的工作可能更有成效。
打印机开发模式
在审查源代码时，我们注意到惠普打印机可以进入“开发”模式。一旦启用这个模式，就可以自由安装未签名的固件更新。我们在HP.Mfp.Services.Installation.Fim.SignedConfigBundleRepository中找到了唯一可以启用开发模式的代码路径：
protected override void InstallMfgConfigPackage(FileInfo[] files){if (files != null && files.Length > 0){foreach (FileInfo file in files){if (!(file.Name == "pak.hdr") && new SecureNvramBundle().DecryptAndValidateManufacturingPackage(this.GetFileContents(file)) != null){this.TransitionToDevMode();LogManager.InfoLog.Log("HP.Mfp.Services.Installation.Fim", 10030852U, new KeyValuePair<string, string>("MESSAGE", "Signed Mfg Config Bundle install succeeded. Development Mode Activated."));return;}}}LogManager.WarningLog.Log("HP.Mfp.Services.Installation.Fim", 10030853U, new KeyValuePair<string, string>("MESSAGE", "Signed Mfg Config Bundle digital signature validation failed"));}