這么多年來(lái),我只看過(guò)少許的對(duì)于電視機(jī)的入侵,現(xiàn)在在這個(gè)日益智能化的是時(shí)代里,什么都智能,什么都聯(lián)網(wǎng),這就對(duì)看似安全的智能化生活埋下了隱患,這次就針對(duì)天威視訊的機(jī)頂盒進(jìn)行電視機(jī)的滲透。不要驚奇,就是電視機(jī)。
關(guān)于天威視訊的介紹,深圳幾乎一半的電視終端都是使用天威視訊的,龐大的用戶(hù)量,一旦發(fā)生問(wèn)題,后果嚴(yán)重。
首先,這次滲透也是我突發(fā)奇想,看到電視機(jī)里有個(gè)ip設(shè)置的選項(xiàng),插入網(wǎng)線,之后在開(kāi)啟機(jī)頂盒就能夠正常獲取到ip網(wǎng)關(guān)等一系列的信息。
窺視內(nèi)網(wǎng)
b74eacb092d340fd2cb46cf865e95874_b.png (171.39 KB, 下載次數(shù): 11)
下載附件
保存到相冊(cè)
2016-6-20 14:15 上傳
IP 是 10.97.143 段、網(wǎng)關(guān) 10.97.128.1,DHCP 服務(wù)器則是192.168.222.105,DNS 是 172.18.50.11 和 172.16.129.12 。
這是個(gè)超級(jí)大的局域網(wǎng),本以為能夠連接到外網(wǎng),其實(shí)是天威自己制作的一個(gè)查詢(xún)頁(yè)面,這個(gè)查詢(xún)頁(yè)面的服務(wù)器是連接外網(wǎng)的,你本身 10.97.143.254 這個(gè) IP 是不能夠連接外網(wǎng)的,在我電腦上測(cè)試證明了這點(diǎn)。
ccb7148138ecb3322f546037e78595fc_b.png (160.71 KB, 下載次數(shù): 8)
下載附件
保存到相冊(cè)
2016-6-20 14:15 上傳
我選擇就從本機(jī)的 IP 段開(kāi)始探索,我將 10.97.143 這個(gè)段填入IISPUT中進(jìn)行對(duì)端口 80,8080,23,22 的掃描。
571c9f106722cc148a88381aaf193f3b_b.png (237.78 KB, 下載次數(shù): 8)
下載附件
保存到相冊(cè)
2016-6-20 14:15 上傳
看到了嗎,都是 80 端口,23 端口,我隨即打開(kāi)了一個(gè)頁(yè)面查看:
263f5576bf51fffd80955b09681e593a_b.png (87.6 KB, 下載次數(shù): 8)
下載附件
保存到相冊(cè)
2016-6-20 14:15 上傳
用 telnet 測(cè)試連接:
ede53c9f8b2a8f87ea4fe6c6e177aeec_b.png (45.19 KB, 下載次數(shù): 7)
下載附件
保存到相冊(cè)
2016-6-20 14:15 上傳
Ok,可以連接, root 空密碼。
登陸成功:
8580cd4189d45447a10143fb5ecbfd93_b.png (87.68 KB, 下載次數(shù): 8)
下載附件
保存到相冊(cè)
2016-6-20 14:15 上傳
通過(guò)web 訪問(wèn)得知應(yīng)該是路由器。閱遍了終端下的所有文件,找尋進(jìn)一步滲透的游泳的東西。
一擊必殺
之后我突然發(fā)現(xiàn)了這個(gè),看:
05a1af6447432f96c5c652aefe1a45f3_b.png (184.87 KB, 下載次數(shù): 7)
下載附件
保存到相冊(cè)
2016-6-20 14:15 上傳
看到了嗎,action,心里想,肯定存在Struts命令執(zhí)行漏洞,于是,丟進(jìn)利用工具里跑。
與此同時(shí),我發(fā)現(xiàn)了進(jìn)入路由的方法,其實(shí)天威的驗(yàn)證做的很坑爹,只是針對(duì)了 home.asp 這個(gè)頁(yè)面而已,其他任何頁(yè)面目錄都形同虛設(shè)所以我們可以找到更改密碼的地方,直接修改admin密碼。
這個(gè)頁(yè)面是修改密碼的:
1c78e32944c64856b10fa54cf7fc2aec_b.png (111.29 KB, 下載次數(shù): 7)
下載附件
保存到相冊(cè)
2016-6-20 14:15 上傳
登陸進(jìn)來(lái)了:
753f1c5d2fe3b6e98a5e0303d27df475_b.png (85.24 KB, 下載次數(shù): 7)
下載附件
保存到相冊(cè)
2016-6-20 14:15 上傳
我初步掃描了一下,最少都有1000多臺(tái),我們可以利用此漏洞控制成千甚至上萬(wàn)的無(wú)線路由器,危害可想而知。
我們回到那個(gè) Struts 漏洞上來(lái),我測(cè)試了一些,存在 Struts 命令執(zhí)行漏洞。興奮。
9805505105c36b4efb0ff0d40d256e7b_b.png (89.79 KB, 下載次數(shù): 8)
下載附件
保存到相冊(cè)
2016-6-20 14:15 上傳
你知道我為什么看到這張圖興奮嗎?因?yàn)檫@是電視機(jī)上顯示的畫(huà)面,一些未交錢(qián)的電視節(jié)目就是這個(gè)提示,這樣我們就能夠成功修改標(biāo)題,入侵電視的目的達(dá)到。
6e39996f1659bcbb6aea6f5e196713ad_b.png (231.73 KB, 下載次數(shù): 8)
下載附件
保存到相冊(cè)
2016-6-20 14:15 上傳
繼續(xù)進(jìn)一步滲透由此從 DHCP 服務(wù)器著手。本機(jī)的 DHCP 服務(wù)器是192.168.222.105,我抱著試試的心態(tài)掃描了一下關(guān)于192.168.222.105這個(gè)網(wǎng)段的ip,看看有什么可以利用的。
e43cff89888e7e79e28b2d2bddc664cc_b.png (144.09 KB, 下載次數(shù): 8)
下載附件
保存到相冊(cè)
2016-6-20 14:15 上傳
撕裂邊界
哇塞,興奮了,這么多ip,直到我找到這個(gè)ip。
0b84d353d2a7bc6f3246aa1155ae7ce7_b.png (163.02 KB, 下載次數(shù): 12)
下載附件
保存到相冊(cè)
2016-6-20 14:15 上傳
跑出登陸用戶(hù)名和密碼:
e54878da99dfbba048d69dd4a9d64bbd_b.png (159.52 KB, 下載次數(shù): 12)
下載附件
保存到相冊(cè)
2016-6-20 14:15 上傳
進(jìn)來(lái)之后就覺(jué)得碉堡了,基本上,天威的所有ip我都能夠查詢(xún)的到?,F(xiàn)在我們能夠查詢(xún)到任意一臺(tái)機(jī)頂盒的上線記錄。
fe9ff99e8338f83c811410cd0072c188_b.png (170.74 KB, 下載次數(shù): 12)
下載附件
保存到相冊(cè)
2016-6-20 14:15 上傳
ab781eb5fd21f6011f74ee9ffe2fde81_b.png (111.99 KB, 下載次數(shù): 13)
下載附件
保存到相冊(cè)
2016-6-20 14:15 上傳
為了進(jìn)一步的滲透,我添加了一個(gè)管理員賬戶(hù),之后登陸上3389之后,之后當(dāng)我用 administrator 用戶(hù)登陸之后,打開(kāi)Navicat for Mysql 軟件的時(shí)候,眾多數(shù)據(jù)庫(kù)暴漏。
9a34385482297e846a89f237baaf058f_b.png (90.6 KB, 下載次數(shù): 11)
下載附件
保存到相冊(cè)
2016-6-20 14:15 上傳
可想而知的危害??纯催@下載速度。
6fd4c920249ae47cf2360fcc9fe2c8c6_b.png (57.85 KB, 下載次數(shù): 12)
下載附件
保存到相冊(cè)
2016-6-20 14:15 上傳
全是企業(yè)內(nèi)部資料。
df092145f94a663d43cf086eb8c89fe7_b.png (156.25 KB, 下載次數(shù): 8)
下載附件
保存到相冊(cè)
2016-6-20 14:15 上傳
看看這些,如果這些資料泄露不堪設(shè)想。全是 IMS 設(shè)備。都能夠登陸的。
3e65812c17db8ba174be978930fb5fb7_b.png (176.5 KB, 下載次數(shù): 8)
下載附件
保存到相冊(cè)
2016-6-20 14:14 上傳
看看這些,如果這些資料泄露不堪設(shè)想。
3f801701334fdca6b9fc3dc76b2fd69e_b.png (105.13 KB, 下載次數(shù): 7)
下載附件
保存到相冊(cè)
2016-6-20 14:14 上傳
到這里,我們的滲透基本完成,雖還能夠進(jìn)一步深入,但是由于信息量實(shí)在太大,就不多說(shuō)了,算是個(gè)小型 APT 吧。
|