这么多年来,我只看国少许的对于电视机的入侵,现在在这个日益智能化的是时代里,什么都智能,什么都联网,这就对看似安全的智能化生活埋下了隐患,这次就针对天威视讯的机顶盒进行电视机的渗透。。不要惊奇,就是电视机。。
关于天威视讯的介绍,深圳几乎一半的电视终端都是使用天威视讯的,庞大的用户量,一旦发生问题,后果严重。。
首先,这次渗透也是我突发奇想,看到电视机里有个ip设置的选项,和机顶盒背后那个网线插口二萌生的,我就在想,如果将网线插入电脑,会不会获取到一样的ip?于是我将插入电脑,这个时候我发现,如果你的机顶盒开机后插入网线到电脑,获取不到ip的,一定要将机顶盒关机后,插入网线,之后在开启机顶盒就能够正常获取到ip网关等一系列的信息,于是。。之后大型的渗透就开始了。。。
上张机顶盒背后的图
真是智能化啊。
于是我查看了ip
Ip是以10.97.143这个段,而网关是10.97.128.1,dhcp服务器则是192.168.222.105,dns是172.18.50.11和172.16.129.12,看到此画面的时候,我知道,这是个超级大的局域网,在电视中测试的时候,本来以为能够连接到外网,其实是这样的,如此便于生活的机顶盒,里面包含了很多便民服务,我在想,便民服务,如汽车违规查询,那查询应该是要连接外网的,但是在我实际测试之中,我发现,其实是这样的,我们本机利用遥控板点开查询页面,看是连接到了外网,其实呢,是连接到了天威自己制作的一个查询页面,当然,这个查询页面的服务器是连接外网的,也就是说,你本身10.97.143.254这个ip是不能够连接外网的,在我电脑上测试就证明了这点
Ping 了百度的域名,ip,和qq的域名,浏览器里也测试了是否能够访问,都不行,由此可以初步判断是这样的,那我们该从和处开始下手呢,我选择就从本机的ip段开始探索
我将10.97.143这个段填入IISPUT中进行对端口80,8080,23,22的扫描。。。
看到了吗,都是80端口,23端口,我随即打开了一个页面查看
要求验证,试了试常用的弱口令,都不能够登陆,我们现在可以推断,这些扫描肯定是跟电有关的,正在我郁闷的时候,想起了上面扫描的23端口可以测试,用telnet测试连接
Ok,可以连接,我猜测了常用的默认密码等。。终于在我尝试到root 空密码的时候成功了,我擦,郁闷死我。。。
登陆成功
初步推测应该是智能机顶盒的终端。。。但是在随后的测试中,我发现,我错了。。。,通过web访问得知,需要登录,那就应该是路由器之类的。。不急,我首先阅遍了终端下的所有文件,找寻进一步渗透的游泳(错别字:有用)的东西。。之后我突然发现了这个。。看
看到了吗,action,心里想,肯定存在Struts命令执行漏洞,于是,丢进利用工具里跑,与此同时,我发现了进入路由的方法,其实天威的验证做的很坑爹,天威的web验证界面其实就只是针对了home.asp这个页面而已,其他任何页面目录都形同虚设所以我们可以找到更改密码的地方,直接修改admin密码
adm/management.asp 这个页面是修改密码的
看到了吗
我初步扫描了一下,最少都有1000多台,我们可以利用此漏洞控制成千甚至上万的无线路由器,危害可想而知
我们回到那个Struts漏洞上来,我测试了一些,存在Struts命令执行漏洞。我擦,人品大爆发,好玩的来了,兴奋
你知道我为什么看到这张图兴奋吗?因为这是电视机上显示的画面,一些未交钱的电视节目就是这个提示,这样我们就能够成功修改标题,入侵电视的目的达到
继续进一步渗透由此从dhcp服务器着手
本机的dhcp服务器是192.168.222.105,我抱着试试的心态扫描了一下关于192.168.222.105这个网段的ip,看看有什么可以利用的。。
哇塞,兴奋了,这么多ip,直到我找到这个ip
看到没有,又是一个action后缀的文件,赶紧放工具里面跑跑看,有没有Struts命令执行漏洞,事实表明,有的,于是赶紧跑出登陆用户名和密码
进来之后就觉得碉堡了,基本上,天威的所有ip我都能够查询的到
能够查询到任意一台机顶盒的上线记录等。。为了进一步的渗透,我添加了一个管理员账户,之后登陆上3389之后,之后当我用administrator用户登陆之后,打开Navicat for Mysql软件的时候,众多数据库暴漏。
可想而知的危害。。看看这下载速度
当我查看共享的时候,吓尿了。。。全是企业内部资料。。
如果这些资料泄露不堪设想
看看这些
全是ims设备。都能够登陆的。。
各种的信息泄露
到这里,我们的渗透基本完成,但是还能够进一步深入,但是由于信息量实在太大,就不在wooyun上多说,算是个小型apt吧。
相关讨论:
1# 2013-06-01 12:52 | niliu ( 实习白帽子 )
被雷劈了
2# 2013-06-01 13:34 | Hxai11 ( 普通白帽子 )
由于写apt文章信息量太大,所以有时候思路太乱文章就不怎么好看,而且这里写的也不多,我还在继续深入,想看等漏洞公开后如我博客看吧
3# 2013-06-01 13:41 | 小威 ( 普通白帽子 )
被劈了
4# 2013-06-01 13:48 | 子墨 ( 普通白帽子 )
雷劈了
5# 2013-06-01 16:51 | VIP ( 实习白帽子 )
雷劈了
6# 2013-06-01 17:15 | cncert国家互联网应急中心(乌云厂商)
赞,云端模式下的APT。
7# 2013-06-01 17:19 | Defa ( 普通白帽子 )
mark
8# 2013-06-01 17:28 | Hxai11 ( 普通白帽子 )
@cncert国家互联网应急中心 各种运维信息,我这样写太乱了,能看懂吧,撸APT真是太伤身了,思路各种变化,请见谅。。
9# 2013-06-01 17:33 | 紫梦芊 ( 普通白帽子 )
关注云安全.
10# 2013-06-01 17:50 | 低调 ( 实习白帽子 )
博客发出来了 还设密码 哎~~ 无语~~
11# 2013-06-01 17:56 | VIP ( 实习白帽子 )
@疯狗 求审核wooyun-2013-024947
12# 2013-06-01 21:58 | Tendrenss ( 实习白帽子 )
还有多长时间能公开。。。好像看看。。。
13# 2013-06-01 23:24 | 冉冉升起 ( 实习白帽子 )
我来看你入侵电视
14# 2013-06-02 09:41 | 点点 ( 普通白帽子 )
我哩个去 黑客无处不在啊
15# 2013-06-02 11:02 | 好人 ( 实习白帽子 )
我是看电视的,给我看cctv8
16# 2013-06-04 12:59 | 夜不眠 ( 实习白帽子 )
是搞定了机顶盒生产厂家吗? 感觉像很多电视里面演的 控制了大楼屏幕 控制了每家每户的电视 然后宣布:"乌云是世界上最伟大的公益组织"
17# 2013-06-06 09:13 | wefgod ( 普通白帽子 )
我擦,入侵电视?!
18# 2013-06-26 09:31 | se55i0n ( 普通白帽子 )
不错!
19# 2013-06-28 18:02 | Drizzle.Risk ( 普通白帽子 )
唉,我之前做,就少了一步,导致失败.. 蛋疼..
20# 2013-06-29 09:24 | Hxai11 ( 普通白帽子 )
@Drizzle.Risk 那一步啊?
21# 2013-06-29 11:05 | Drizzle.Risk ( 普通白帽子 )
@Hxai11 “如果你的机顶盒开机后插入网线到电脑,获取不到ip的,一定要将机顶盒关机后,插入网线,之后在开启机顶盒就能够正常获取到ip网关等一系列的信息” 我试了各种办法..就是没重启.. DHCP什么的都配置好了.. =.=
22# 2013-06-29 13:00 | Hxai11 ( 普通白帽子 )
@Drizzle.Risk ...难道你也是深圳的?其实本来想最后拿到信息查询系统的权限在放手,但是太难搞了,放弃了。。(机顶盒信息,地址,手机都有。。)
23# 2013-07-06 06:18 | niliu ( 实习白帽子 )
碉堡啊,话说楼主在看到网警电话时有没有什么想法…
24# 2013-07-07 15:16 | Cr4zy ( 实习白帽子 )
我表示我的机顶盒接口不一样的 没网线的
25# 2013-07-10 10:34 | 核攻击 ( 实习白帽子 )
碉堡了……
26# 2013-07-10 10:56 | Hxai11 ( 普通白帽子 )
@核攻击 智能化的时代,安全更加重要!
27# 2013-07-11 22:15 | 0x_Jin ( 实习白帽子 )
次奥。。。 你等于把整个网络逛了个遍阿。。
28# 2013-07-11 23:17 | 齐迹 ( 普通白帽子 )
好经典。。。膜拜高手
29# 2013-07-12 08:26 | Hxai11 ( 普通白帽子 )
@0x_Jin 最终一个核心还是没拿到,由于网段的问题,最终核心是一个查询系统,能够查询到基本上市深圳所有终端的位置信息,包括联系人,手机号,天威目前来说是深圳第一大视频终端商,自己想危害吧。。
30# 2013-07-12 08:27 | Hxai11 ( 普通白帽子 )
@齐迹 小菜一个,只是机会好而已。。
31# 2013-07-12 08:59 | gniq ( 实习白帽子 )
太high了,顶一个,物联网的时代更需要安全啊
32# 2013-07-12 09:48 | 小沛 ( 实习白帽子 )
哎 这种法子也能想的出来
33# 2013-07-12 10:51 | YwiSax ( 实习白帽子 )
mark。好思路。。。 = = 我觉得很多黑阔以后去酒店有东西可以玩了
34# 2013-07-12 12:17 | Vim0x0n ( 实习白帽子 )
赞!
35# 2013-07-12 12:20 | Vim0x0n ( 实习白帽子 )
不过这个真心不算APT。。。LZ思路确实好玩,不过APT的话指的是高级持续性威胁,这只能算次物联网的渗透:)
36# 2013-07-12 14:51 | c4rp3nt3r ( 实习白帽子 )
学习了
37# 2013-07-12 23:04 | lxsec ( 实习白帽子 )
思路活跃X炸天!
38# 2013-07-13 11:27 | 专业种田 ( 普通白帽子 )
确实高手
39# 2013-07-13 23:44 | 请叫我大神 ( 实习白帽子 | 还没有发布任何漏洞 | 我叫大仙,法力无边)
我们住的小区门禁,也是RJ45的水晶头~嘿嘿
40# 2013-07-14 22:05 | 噬魂 ( 实习白帽子 )
我擦。。。黑阔
41# 2013-07-16 12:45 | imlonghao (核心白帽子 )
信息量太大了把 -,-;;
42# 2013-07-16 12:56 | 乐乐、 ( 普通白帽子 )
楼主屌爆了
43# 2013-07-16 13:20 | safe121 ( 实习白帽子 )
楼主开门送礼物的
44# 2013-07-16 13:21 | plane636 ( 实习白帽子 )
这个的确碉堡
45# 2013-07-16 15:27 | hack2012 ( 实习白帽子 )
真的很强大呀!
46# 2013-07-16 15:47 | sdj ( 实习白帽子 )
@请叫我大神 插电脑上没反应,试过了。
47# 2013-07-16 16:13 | Coody ( 普通白帽子 )
@Hxai11 弱弱的问一句:你是怎么连接pc和机顶盒?还有查询IP。。。
48# 2013-07-16 16:19 | Ivan ( 实习白帽子 )
一个弱口令引起的APT
49# 2013-07-16 16:48 | Ivan ( 实习白帽子 )
这裤子要是脱了……嘎嘎
50# 2013-07-16 17:00 | Hxai11 ( 普通白帽子 )
@Coody 厂商已经修复了,各位,别试了。
51# 2013-07-16 18:20 | 流德滑 ( 实习白帽子 )
亏大了,我没去测试
52# 2013-07-16 23:40 | 自由与精神 ( 实习白帽子 )
洞主 你做掉了一个事,就是找到可以上网的那台服务器,代理上网出去 这样你还可免费上网了
53# 2013-07-17 00:25 | 小智 ( 实习白帽子 )
当初,广州的视讯宽带网,如果没有续费或者没开通,也会把ip设置为10.x.x.x的内网,一样可以这样玩,当初试过他的ftp是空密码。下了点东西。没继续扫下去。。很多年前了
54# 2013-07-17 13:22 | 请叫我大神 ( 实习白帽子 | 还没有发布任何漏洞 | 我叫大仙,法力无边)
@sdj 肯定 有反应的,这块需要手工设置IP
55# 2013-07-17 14:20 | sdj ( 实习白帽子 )
@请叫我大神 我们这是深圳旺龙的,插上毛的反应都木有,本地连接依然是断开状态。
56# 2013-07-17 16:32 | ty4z2008 ( 实习白帽子 )
农村还是有线不是数字
57# 2013-07-17 18:09 | syjzwjj ( 实习白帽子 )
很好的渗透
留言评论(旧系统):