李普君
漏洞作者:Haxi11
漏洞编号:WooYun-2013-24933
这么多年来,我只看过少许的对于电视机的入侵,现在在这个日益智能化的是时代里,什么都智能,什么都联网,这就对看似安全的智能化生活埋下了隐患,这次就针对天威视讯的机顶盒进行电视机的渗透。不要惊奇,就是电视机。
关于天威视讯的介绍,深圳几乎一半的电视终端都是使用天威视讯的,庞大的用户量,一旦发生问题,后果严重。
首先,这次渗透也是我突发奇想,看到电视机里有个ip设置的选项,插入网线,之后在开启机顶盒就能够正常获取到ip网关等一系列的信息。
窥视内网
IP 是 10.97.143 段、网关 10.97.128.1,DHCP 服务器则是192.168.222.105,DNS 是 172.18.50.11 和 172.16.129.12 。
这是个超级大的局域网,本以为能够连接到外网,其实是天威自己制作的一个查询页面,这个查询页面的服务器是连接外网的,你本身 10.97.143.254 这个 IP 是不能够连接外网的,在我电脑上测试证明了这点。
我选择就从本机的 IP 段开始探索,我将 10.97.143 这个段填入IISPUT中进行对端口 80,8080,23,22 的扫描。
看到了吗,都是 80 端口,23 端口,我随即打开了一个页面查看:
用 telnet 测试连接:
Ok,可以连接, root 空密码。
登陆成功:
通过web 访问得知应该是路由器。阅遍了终端下的所有文件,找寻进一步渗透的游泳的东西。
一击必杀
之后我突然发现了这个,看:
看到了吗,action,心里想,肯定存在Struts命令执行漏洞,于是,丢进利用工具里跑。
与此同时,我发现了进入路由的方法,其实天威的验证做的很坑爹,只是针对了 home.asp 这个页面而已,其他任何页面目录都形同虚设所以我们可以找到更改密码的地方,直接修改admin密码。
这个页面是修改密码的:
登陆进来了:
我初步扫描了一下,最少都有1000多台,我们可以利用此漏洞控制成千甚至上万的无线路由器,危害可想而知。
我们回到那个 Struts 漏洞上来,我测试了一些,存在 Struts 命令执行漏洞。兴奋。
你知道我为什么看到这张图兴奋吗?因为这是电视机上显示的画面,一些未交钱的电视节目就是这个提示,这样我们就能够成功修改标题,入侵电视的目的达到。
继续进一步渗透由此从 DHCP 服务器着手。本机的 DHCP 服务器是192.168.222.105,我抱着试试的心态扫描了一下关于192.168.222.105这个网段的ip,看看有什么可以利用的。
撕裂边界
哇塞,兴奋了,这么多ip,直到我找到这个ip。
跑出登陆用户名和密码:
进来之后就觉得碉堡了,基本上,天威的所有ip我都能够查询的到。现在我们能够查询到任意一台机顶盒的上线记录。
为了进一步的渗透,我添加了一个管理员账户,之后登陆上3389之后,之后当我用 administrator 用户登陆之后,打开Navicat for Mysql 软件的时候,众多数据库暴漏。
可想而知的危害。看看这下载速度。
全是企业内部资料。
看看这些,如果这些资料泄露不堪设想。
全是 IMS 设备。都能够登陆的。
到这里,我们的渗透基本完成,虽还能够进一步深入,但是由于信息量实在太大,就不多说了,算是个小型 APT 吧。
镜像链接:谷歌镜像
相关日志
没有评论:
发表评论