這么多年來，我只看國少許的對于電視機的入侵，現(xiàn)在在這個日益智能化的是時代里，什么都智能，什么都聯(lián)網(wǎng)，這就對看似安全的智能化生活埋下了隱患，這次就針對天威視訊的機頂盒進行電視機的滲透。不要驚奇，就是電視機。

關(guān)于天威視訊的介紹，深圳幾乎一半的電視終端都是使用天威視訊的，龐大的用戶量，一旦發(fā)生問題，后果嚴(yán)重。

首先，這次滲透也是我突發(fā)奇想，看到電視機里有個ip設(shè)置的選項，和機頂盒背后那個網(wǎng)線插口二萌生的，我就在想，如果將網(wǎng)線插入電腦，會不會獲取到一樣的ip?于是我將插入電腦，這個時候我發(fā)現(xiàn)，如果你的機頂盒開機后插入網(wǎng)線到電腦，獲取不到ip的，一定要將機頂盒關(guān)機后，插入網(wǎng)線，之后在開啟機頂盒就能夠正常獲取到ip網(wǎng)關(guān)等一系列的信息，于是，之后大型的滲透就開始了。

上張機頂盒背后的圖

真是智能化啊。

于是我查看了ip

Ip是以10.97.143這個段，而網(wǎng)關(guān)是10.97.128.1，dhcp服務(wù)器則是192.168.222.105，dns是172.18.50.11和172.16.129.12，看到此畫面的時候，我知道，這是個超級大的局域網(wǎng)，在電視中測試的時候，本來以為能夠連接到外網(wǎng)，其實是這樣的，如此便于生活的機頂盒，里面包含了很多便民服務(wù)，我在想，便民服務(wù)，如汽車違規(guī)查詢，那查詢應(yīng)該是要連接外網(wǎng)的，但是在我實際測試之中，我發(fā)現(xiàn)，其實是這樣的，我們本機利用遙控板點開查詢頁面，看是連接到了外網(wǎng)，其實呢，是連接到了天威自己制作的一個查詢頁面，當(dāng)然，這個查詢頁面的服務(wù)器是連接外網(wǎng)的，也就是說，你本身10.97.143.254這個ip是不能夠連接外網(wǎng)的，在我電腦上測試就證明了這點

Ping 了百度的域名，ip，和qq的域名，瀏覽器里也測試了是否能夠訪問，都不行，由此可以初步判斷是這樣的，那我們該從和處開始下手呢，我選擇就從本機的ip段開始探索

我將10.97.143這個段填入IISPUT中進行對端口80,8080,23,22的掃描。

看到了嗎，都是80端口，23端口，我隨即打開了一個頁面查看

要求驗證，試了試常用的弱口令，都不能夠登陸，我們現(xiàn)在可以推斷，這些掃描肯定是跟電有關(guān)的，正在我郁悶的時候，想起了上面掃描的23端口可以測試，用telnet測試連接

Ok，可以連接，我猜測了常用的默認(rèn)密碼等。。終于在我嘗試到root 空密碼的時候成功了，我擦，郁悶死我。

登陸成功

初步推測應(yīng)該是智能機頂盒的終端。但是在隨后的測試中，我發(fā)現(xiàn)，我錯了。通過web訪問得知，需要登錄，那就應(yīng)該是路由器之類的。。不急，我首先閱遍了終端下的所有文件，找尋進一步滲透的游泳的東西。之后我突然發(fā)現(xiàn)了這個。

看到了嗎，action，心里想，肯定存在Struts命令執(zhí)行漏洞，于是，丟進利用工具里跑，與此同時，我發(fā)現(xiàn)了進入路由的方法，其實天威的驗證做的很坑爹，天威的web驗證界面其實就只是針對了home.asp這個頁面而已，其他任何頁面目錄都形同虛設(shè)所以我們可以找到更改密碼的地方，直接修改admin密碼

adm/management.asp 這個頁面是修改密碼的

看到了嗎

我初步掃描了一下，最少都有1000多臺，我們可以利用此漏洞控制成千甚至上萬的無線路由器，危害可想而知

我們回到那個Struts漏洞上來，我測試了一些，存在Struts命令執(zhí)行漏洞。我擦，人品大爆發(fā)，好玩的來了，興奮

[[77637]]

你知道我為什么看到這張圖興奮嗎?因為這是電視機上顯示的畫面，一些未交錢的電視節(jié)目就是這個提示，這樣我們就能夠成功修改標(biāo)題，入侵電視的目的達(dá)到

繼續(xù)進一步滲透由此從dhcp服務(wù)器著手

本機的dhcp服務(wù)器是192.168.222.105，我抱著試試的心態(tài)掃描了一下關(guān)于192.168.222.105這個網(wǎng)段的ip，看看有什么可以利用的。

哇塞，興奮了，這么多ip，直到我找到這個ip

看到?jīng)]有，又是一個action后綴的文件，趕緊放工具里面跑跑看，有沒有Struts命令執(zhí)行漏洞，事實表明，有的，于是趕緊跑出登陸用戶名和密碼

進來之后就覺得碉堡了，基本上，天威的所有ip我都能夠查詢的到

能夠查詢到任意一臺機頂盒的上線記錄等。。為了進一步的滲透，我添加了一個管理員賬戶，之后登陸上3389之后，之后當(dāng)我用administrator用戶登陸之后，打開Navicat for Mysql軟件的時候，眾多數(shù)據(jù)庫暴漏。

可想而知的危害。?？纯催@下載速度

當(dāng)我查看共享的時候，嚇尿了。。。全是企業(yè)內(nèi)部資料。

如果這些資料泄露不堪設(shè)想

看看這些

全是ims設(shè)備。都能夠登陸的。。

各種的信息泄露

到這里，我們的滲透基本完成，但是還能夠進一步深入，但是由于信息量實在太大，就不在wooyun上多說，算是個小型apt吧。