這么多年來(lái)，我只看國(guó)少許的對(duì)于電視機(jī)的入侵，現(xiàn)在在這個(gè)日益智能化的是時(shí)代里，什么都智能，什么都聯(lián)網(wǎng)，這就對(duì)看似安全的智能化生活埋下了隱患，這次就針對(duì)天威視訊的機(jī)頂盒進(jìn)行電視機(jī)的滲透。不要驚奇，就是電視機(jī)。

關(guān)于天威視訊的介紹，深圳幾乎一半的電視終端都是使用天威視訊的，龐大的用戶(hù)量，一旦發(fā)生問(wèn)題，后果嚴(yán)重。

首先，這次滲透也是我突發(fā)奇想，看到電視機(jī)里有個(gè)ip設(shè)置的選項(xiàng)，和機(jī)頂盒背后那個(gè)網(wǎng)線插口二萌生的，我就在想，如果將網(wǎng)線插入電腦，會(huì)不會(huì)獲取到一樣的ip?于是我將插入電腦，這個(gè)時(shí)候我發(fā)現(xiàn)，如果你的機(jī)頂盒開(kāi)機(jī)后插入網(wǎng)線到電腦，獲取不到ip的，一定要將機(jī)頂盒關(guān)機(jī)后，插入網(wǎng)線，之后在開(kāi)啟機(jī)頂盒就能夠正常獲取到ip網(wǎng)關(guān)等一系列的信息，于是，之后大型的滲透就開(kāi)始了。

上張機(jī)頂盒背后的圖

真是智能化啊。

于是我查看了ip

Ip是以10.97.143這個(gè)段，而網(wǎng)關(guān)是10.97.128.1，dhcp服務(wù)器則是192.168.222.105，dns是172.18.50.11和172.16.129.12，看到此畫(huà)面的時(shí)候，我知道，這是個(gè)超級(jí)大的局域網(wǎng)，在電視中測(cè)試的時(shí)候，本來(lái)以為能夠連接到外網(wǎng)，其實(shí)是這樣的，如此便于生活的機(jī)頂盒，里面包含了很多便民服務(wù)，我在想，便民服務(wù)，如汽車(chē)違規(guī)查詢(xún)，那查詢(xún)應(yīng)該是要連接外網(wǎng)的，但是在我實(shí)際測(cè)試之中，我發(fā)現(xiàn)，其實(shí)是這樣的，我們本機(jī)利用遙控板點(diǎn)開(kāi)查詢(xún)頁(yè)面，看是連接到了外網(wǎng)，其實(shí)呢，是連接到了天威自己制作的一個(gè)查詢(xún)頁(yè)面，當(dāng)然，這個(gè)查詢(xún)頁(yè)面的服務(wù)器是連接外網(wǎng)的，也就是說(shuō)，你本身10.97.143.254這個(gè)ip是不能夠連接外網(wǎng)的，在我電腦上測(cè)試就證明了這點(diǎn)

Ping 了百度的域名，ip，和qq的域名，瀏覽器里也測(cè)試了是否能夠訪問(wèn)，都不行，由此可以初步判斷是這樣的，那我們?cè)搹暮吞庨_(kāi)始下手呢，我選擇就從本機(jī)的ip段開(kāi)始探索

我將10.97.143這個(gè)段填入IISPUT中進(jìn)行對(duì)端口80,8080,23,22的掃描。

看到了嗎，都是80端口，23端口，我隨即打開(kāi)了一個(gè)頁(yè)面查看

要求驗(yàn)證，試了試常用的弱口令，都不能夠登陸，我們現(xiàn)在可以推斷，這些掃描肯定是跟電有關(guān)的，正在我郁悶的時(shí)候，想起了上面掃描的23端口可以測(cè)試，用telnet測(cè)試連接

Ok，可以連接，我猜測(cè)了常用的默認(rèn)密碼等。。終于在我嘗試到root 空密碼的時(shí)候成功了，我擦，郁悶死我。

登陸成功

初步推測(cè)應(yīng)該是智能機(jī)頂盒的終端。但是在隨后的測(cè)試中，我發(fā)現(xiàn)，我錯(cuò)了。通過(guò)web訪問(wèn)得知，需要登錄，那就應(yīng)該是路由器之類(lèi)的。。不急，我首先閱遍了終端下的所有文件，找尋進(jìn)一步滲透的游泳的東西。之后我突然發(fā)現(xiàn)了這個(gè)。

看到了嗎，action，心里想，肯定存在Struts命令執(zhí)行漏洞，于是，丟進(jìn)利用工具里跑，與此同時(shí)，我發(fā)現(xiàn)了進(jìn)入路由的方法，其實(shí)天威的驗(yàn)證做的很坑爹，天威的web驗(yàn)證界面其實(shí)就只是針對(duì)了home.asp這個(gè)頁(yè)面而已，其他任何頁(yè)面目錄都形同虛設(shè)所以我們可以找到更改密碼的地方，直接修改admin密碼

adm/management.asp 這個(gè)頁(yè)面是修改密碼的

看到了嗎

我初步掃描了一下，最少都有1000多臺(tái)，我們可以利用此漏洞控制成千甚至上萬(wàn)的無(wú)線路由器，危害可想而知

我們回到那個(gè)Struts漏洞上來(lái)，我測(cè)試了一些，存在Struts命令執(zhí)行漏洞。我擦，人品大爆發(fā)，好玩的來(lái)了，興奮

[[77637]]

你知道我為什么看到這張圖興奮嗎?因?yàn)檫@是電視機(jī)上顯示的畫(huà)面，一些未交錢(qián)的電視節(jié)目就是這個(gè)提示，這樣我們就能夠成功修改標(biāo)題，入侵電視的目的達(dá)到

繼續(xù)進(jìn)一步滲透由此從dhcp服務(wù)器著手

本機(jī)的dhcp服務(wù)器是192.168.222.105，我抱著試試的心態(tài)掃描了一下關(guān)于192.168.222.105這個(gè)網(wǎng)段的ip，看看有什么可以利用的。

哇塞，興奮了，這么多ip，直到我找到這個(gè)ip

看到?jīng)]有，又是一個(gè)action后綴的文件，趕緊放工具里面跑跑看，有沒(méi)有Struts命令執(zhí)行漏洞，事實(shí)表明，有的，于是趕緊跑出登陸用戶(hù)名和密碼

進(jìn)來(lái)之后就覺(jué)得碉堡了，基本上，天威的所有ip我都能夠查詢(xún)的到

能夠查詢(xún)到任意一臺(tái)機(jī)頂盒的上線記錄等。。為了進(jìn)一步的滲透，我添加了一個(gè)管理員賬戶(hù)，之后登陸上3389之后，之后當(dāng)我用administrator用戶(hù)登陸之后，打開(kāi)Navicat for Mysql軟件的時(shí)候，眾多數(shù)據(jù)庫(kù)暴漏。

可想而知的危害。。看看這下載速度

當(dāng)我查看共享的時(shí)候，嚇尿了。。。全是企業(yè)內(nèi)部資料。

如果這些資料泄露不堪設(shè)想

看看這些

全是ims設(shè)備。都能夠登陸的。。

各種的信息泄露

到這里，我們的滲透基本完成，但是還能夠進(jìn)一步深入，但是由于信息量實(shí)在太大，就不在wooyun上多說(shuō)，算是個(gè)小型apt吧。