老司機(jī)告訴你機(jī)頂盒是如何被入侵的？

微笑，一路向前 · 發(fā)表于 2016-6-20 14:19

這么多年來，我只看過少許的對(duì)于電視機(jī)的入侵，現(xiàn)在在這個(gè)日益智能化的是時(shí)代里，什么都智能，什么都聯(lián)網(wǎng)，這就對(duì)看似安全的智能化生活埋下了隱患，這次就針對(duì)天威視訊的機(jī)頂盒進(jìn)行電視機(jī)的滲透。不要驚奇，就是電視機(jī)。

關(guān)于天威視訊的介紹，深圳幾乎一半的電視終端都是使用天威視訊的，龐大的用戶量，一旦發(fā)生問題，后果嚴(yán)重。

首先，這次滲透也是我突發(fā)奇想，看到電視機(jī)里有個(gè)ip設(shè)置的選項(xiàng)，插入網(wǎng)線，之后在開啟機(jī)頂盒就能夠正常獲取到ip網(wǎng)關(guān)等一系列的信息。

窺視內(nèi)網(wǎng)
老司機(jī)告訴你機(jī)頂盒是如何被入侵的？

IP 是 10.97.143 段、網(wǎng)關(guān) 10.97.128.1，DHCP 服務(wù)器則是192.168.222.105，DNS 是 172.18.50.11 和 172.16.129.12 。

這是個(gè)超級(jí)大的局域網(wǎng)，本以為能夠連接到外網(wǎng)，其實(shí)是天威自己制作的一個(gè)查詢頁面，這個(gè)查詢頁面的服務(wù)器是連接外網(wǎng)的，你本身 10.97.143.254 這個(gè) IP 是不能夠連接外網(wǎng)的，在我電腦上測試證明了這點(diǎn)。

老司機(jī)告訴你機(jī)頂盒是如何被入侵的？

我選擇就從本機(jī)的 IP 段開始探索，我將 10.97.143 這個(gè)段填入IISPUT中進(jìn)行對(duì)端口 80,8080,23,22 的掃描。
老司機(jī)告訴你機(jī)頂盒是如何被入侵的？

看到了嗎，都是 80 端口，23 端口，我隨即打開了一個(gè)頁面查看：
老司機(jī)告訴你機(jī)頂盒是如何被入侵的？

用 telnet 測試連接：
老司機(jī)告訴你機(jī)頂盒是如何被入侵的？

Ok，可以連接， root 空密碼。
登陸成功：

老司機(jī)告訴你機(jī)頂盒是如何被入侵的？

通過web 訪問得知應(yīng)該是路由器。閱遍了終端下的所有文件，找尋進(jìn)一步滲透的游泳的東西。

一擊必殺

之后我突然發(fā)現(xiàn)了這個(gè)，看：
老司機(jī)告訴你機(jī)頂盒是如何被入侵的？

看到了嗎，action，心里想，肯定存在Struts命令執(zhí)行漏洞，于是，丟進(jìn)利用工具里跑。

與此同時(shí)，我發(fā)現(xiàn)了進(jìn)入路由的方法，其實(shí)天威的驗(yàn)證做的很坑爹，只是針對(duì)了 home.asp 這個(gè)頁面而已，其他任何頁面目錄都形同虛設(shè)所以我們可以找到更改密碼的地方，直接修改admin密碼。

這個(gè)頁面是修改密碼的：
老司機(jī)告訴你機(jī)頂盒是如何被入侵的？

登陸進(jìn)來了：
老司機(jī)告訴你機(jī)頂盒是如何被入侵的？

我初步掃描了一下，最少都有1000多臺(tái)，我們可以利用此漏洞控制成千甚至上萬的無線路由器，危害可想而知。

我們回到那個(gè) Struts 漏洞上來，我測試了一些，存在 Struts 命令執(zhí)行漏洞。興奮。
老司機(jī)告訴你機(jī)頂盒是如何被入侵的？

你知道我為什么看到這張圖興奮嗎？因?yàn)檫@是電視機(jī)上顯示的畫面，一些未交錢的電視節(jié)目就是這個(gè)提示，這樣我們就能夠成功修改標(biāo)題，入侵電視的目的達(dá)到。

老司機(jī)告訴你機(jī)頂盒是如何被入侵的？

繼續(xù)進(jìn)一步滲透由此從 DHCP 服務(wù)器著手。本機(jī)的 DHCP 服務(wù)器是192.168.222.105，我抱著試試的心態(tài)掃描了一下關(guān)于192.168.222.105這個(gè)網(wǎng)段的ip，看看有什么可以利用的。

老司機(jī)告訴你機(jī)頂盒是如何被入侵的？

撕裂邊界

哇塞，興奮了，這么多ip，直到我找到這個(gè)ip。
老司機(jī)告訴你機(jī)頂盒是如何被入侵的？

跑出登陸用戶名和密碼：

老司機(jī)告訴你機(jī)頂盒是如何被入侵的？

進(jìn)來之后就覺得碉堡了，基本上，天威的所有ip我都能夠查詢的到?，F(xiàn)在我們能夠查詢到任意一臺(tái)機(jī)頂盒的上線記錄。

老司機(jī)告訴你機(jī)頂盒是如何被入侵的？

為了進(jìn)一步的滲透，我添加了一個(gè)管理員賬戶，之后登陸上3389之后，之后當(dāng)我用 administrator 用戶登陸之后，打開Navicat for Mysql 軟件的時(shí)候，眾多數(shù)據(jù)庫暴漏。
老司機(jī)告訴你機(jī)頂盒是如何被入侵的？

可想而知的危害?？纯催@下載速度。
老司機(jī)告訴你機(jī)頂盒是如何被入侵的？

全是企業(yè)內(nèi)部資料。
老司機(jī)告訴你機(jī)頂盒是如何被入侵的？

看看這些，如果這些資料泄露不堪設(shè)想。全是 IMS 設(shè)備。都能夠登陸的。

老司機(jī)告訴你機(jī)頂盒是如何被入侵的？

看看這些，如果這些資料泄露不堪設(shè)想。
老司機(jī)告訴你機(jī)頂盒是如何被入侵的？

到這里，我們的滲透基本完成，雖還能夠進(jìn)一步深入，但是由于信息量實(shí)在太大，就不多說了，算是個(gè)小型 APT 吧。

死神小學(xué)生 · 發(fā)表于 2016-6-20 14:21

神奇啊

費(fèi)老濕 · 發(fā)表于 2016-6-20 14:21

不錯(cuò)不錯(cuò)好文章

krisunny · 發(fā)表于 2016-6-20 14:21

不明覺厲??！很牛逼的樣子

人見百態(tài) · 發(fā)表于 2016-6-20 14:25

漲知識(shí)了，不看不知道！感謝樓主的分享！

kkooll · 發(fā)表于 2016-6-20 14:49

看看怎么滲透的

嚴(yán)旭_EkU43 · 發(fā)表于 2016-6-20 15:29

樓主用心了，內(nèi)容非常精彩。

babababa6 · 發(fā)表于 2016-6-20 15:33

感謝分享，ZNDS有你更精彩:)

tigga · 發(fā)表于 2016-6-20 15:39

很給力，ZNDS有你更精彩！

kbehz-sgrd · 發(fā)表于 2016-6-20 15:57

很給力，ZNDS有你更精彩！

› 綜合交流 / 資源分享區(qū) › 綜合交流大區(qū)