文中所提及的漏洞與相關(guān)問題，已經(jīng)提交國家相關(guān)部門，并以一個月時間由該部門提出整改建議和大規(guī)模整改活動了，所以，大家切勿嘗試利用或做違反我國法律法規(guī)的事情，否則，極有可能在柵欄里碰到一堆好基友。

0×000 鎮(zhèn)樓

又說好久不見了，估計大家會說，丫又去酒店了… …

好吧，不解釋了，我真沒干啥~

0×001 背景介紹

如上圖這樣的情況，被NDS(反共黑客)所篡改電視傳播媒介的媒體節(jié)目，造成的影響非常重大，但是在事件平息后，是不是就沒有人再去做這樣的事情了?或者，我們是不是已經(jīng)完全修補了類似這樣非常嚴重的漏洞了呢?

現(xiàn)在互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、車聯(lián)網(wǎng)……越來越多生活中的必須都已經(jīng)聯(lián)網(wǎng)了，但是我們的信息安全可能還沒有做好準備，這一篇文章主要分析時至今日，再次篡改一下電視節(jié)目是多么簡單的事情。

0×002 實施對IPTV的攻擊

首先，現(xiàn)在的機頂盒，XX盒子，XX立方其實都是通過網(wǎng)絡(luò)來時時播放節(jié)目的，但是利弊兼?zhèn)?，比如網(wǎng)絡(luò)層會出現(xiàn)大量的問題。我們拿現(xiàn)在最多的或者說應(yīng)用最廣泛的IPTV為例，現(xiàn)在大多數(shù)小區(qū)和電信覆蓋區(qū)域都安裝了IPTV，酒店賓館就更不用說了。如下圖：

[[136309]]

這是酒店和家居中非常典型的配置，調(diào)制解調(diào)器，路由，機頂盒，現(xiàn)在已經(jīng)全部繼承在一個這么大的小盒子里了，這里無意對某為、某信、某視通進行任何評判，畢竟大多數(shù)廠家的方式都一樣，問題并不是在這里，對于出現(xiàn)的品牌和運營商可進行忽略。

旁邊是一個遙控器，用來控制機頂盒或者電視。從圖中可以看出，這樣的搭配并沒有什么問題，并且我們已經(jīng)習(xí)以為常了，如果單單從這樣的場景就能找到發(fā)起對IPTV的攻擊的鏈路，是不是一件很可怕的事情?

在遙控器上，我分析了15家以上的廠家制造的配套機頂盒和遙控器，其中包括某電、某信、某通、某麥等等智能電視或IPTV。大部分分為兩種，一種是按遙控器上的設(shè)置鍵，一種需要先按星號鍵，再按設(shè)置鍵，就會看到下圖了：

[[136310]]

系統(tǒng)設(shè)置的密碼輸入框，也許你會覺得這里還是做了防護的，但是中國國情是這樣，售后維修處理一直是個問題，很少有人愿意上門維修，那么他們會遠程電話告知你如何進入系統(tǒng)設(shè)置，如何修改配置，達到遠程維護的目的。所以在這個環(huán)節(jié)，我可以直接電話報修，然后問客服要配置密碼。當(dāng)然，事情往往更簡單，12345,123,123456,111111,888888都是他們經(jīng)常使用的密碼，接著，我只試了一次：

這里我們成功的看到了機器的基本信息和路由狀況，摸清了IPTV的配置的基本信息，我也可以將網(wǎng)線從機頂盒上拔下來，直接插入我的電腦，并且將電腦的本地網(wǎng)絡(luò)配置按照上圖的信息進行配置，就可以做更多的事情了，這里不再多說。我們關(guān)注的是，還有哪些更重要的問題：

好了，下一個頁面，這里直接暴露出了EPG服務(wù)器的地址，更新服務(wù)器的地址，甚至是網(wǎng)管服務(wù)器的地址，并且還給出了網(wǎng)關(guān)服務(wù)器的FTP的賬號:st**_**w，密碼:E******I3。到了這個時候，我們拿到了很多的外網(wǎng)信息，甚至是運營商的網(wǎng)管服務(wù)器的FTP賬號密碼。

這里需要說一下EPG服務(wù)器是做什么，百科上有詳細的解釋，在文章中，我只想還是用上次溫州時間中的一段新聞文字來解釋：

現(xiàn)在，我們理解了在電視節(jié)目中篡改信息和廣告等等，需要的就是IPTV的EPG服務(wù)的權(quán)限，有了它，我們就可以掌握控制權(quán)了，這里就是大家耳熟能詳?shù)目蛻舳嗽綑?quán)漏洞!bingo!

并且我們所看到的這些信息都是可以進行修改的，我們可以將它修改到任意我們自己搭建的服務(wù)器地址。#p#

0×003 奪權(quán)

在獲取了這么多我們想要的信息后，我們的戰(zhàn)場可以從居家或酒店的局域網(wǎng)轉(zhuǎn)向真正IPTV公網(wǎng)了。我們在電腦中直接訪問我們獲取到的地址，并且輸入我們已經(jīng)獲取到的密碼：

這里我們進入了IPTV標準業(yè)務(wù)管理平臺了，并且可以介入IPPOOL和升級策略管理的工作流程了，剩下篡改破壞的事情就并不是我們信息安全從業(yè)者該做的事情了，這里點到即止。我們再看看有沒有別的權(quán)限可以被獲取到的，還是用我們從機頂盒中獲取來的信息：

上圖我們成功的登陸了IPTV業(yè)務(wù)管理系統(tǒng)的FTP，上面有非常多的非公開文檔與表格，文件數(shù)量還是非常多的。

0×004 整理分析

在滲透測試和信息權(quán)限等分析后，我們可以總結(jié)出以下幾點問題：

1.客戶端的弱口令的問題

()可導(dǎo)致任意人員登錄，任何掌握遙控器的人都可以嘗試登錄，并且進行更改配置或獲取敏感的配置信息和服務(wù)器信息。

2.客戶端的配置信息明文存在的問題

()可導(dǎo)致配置信息和敏感地址直接被利用，可發(fā)起后續(xù)的PC端和web端的攻擊，例如我們做的FTP資料獲取和對服務(wù)器展開漏洞掃描和漏洞利用的攻擊。

3.客戶端機器日志和文件向服務(wù)器明文回傳的問題

()可導(dǎo)致客戶端和服務(wù)器間的通信數(shù)據(jù)被劫持監(jiān)聽和惡意偽造，發(fā)起“中間人攻擊”或資料泄露等多種問題

4.控制端機器弱口令問題

()可導(dǎo)致控制端的管理和業(yè)務(wù)設(shè)置被任意篡改，發(fā)起類似“溫州事件”的EPG服務(wù)器攻擊事件，從而可以而已篡改廣告內(nèi)容，播放的視頻文件內(nèi)容和文字圖片內(nèi)容等等。且攻擊者可以利用權(quán)限刪除和隱匿自己的行為，為時候追查和溯源造成極大的不便。

5.控制端權(quán)限劃分不嚴謹?shù)膯栴}

()如果控制端權(quán)限劃分比較嚴謹?shù)脑挘敲醇词鼓玫骄S護人員的口令也并不能惡意修改播放內(nèi)容，反之，則會導(dǎo)致，一個口令操作所有功能，擴大了惡意攻擊的攻擊面和攻擊范圍。

那么具體這些問題將會導(dǎo)致或者可能體現(xiàn)在這些攻擊行為上：

1.不法分子修改酒店局域網(wǎng)的配置，達到播放自己想要的內(nèi)容的目的

2.不法分子修改公網(wǎng)IPTV控制端的配置，達到全范圍覆蓋修改自己想要的內(nèi)容的目的

3.客戶端敏感信息泄露

4.控制端敏感信息泄露

0×005 整改措施

1.用戶遙控器(或終端)與維護遙控器(或終端)分離

用戶遙控器只需要帶有基本操作和播放功能即可，不應(yīng)當(dāng)帶有進行服務(wù)配置和修改服務(wù)器地址等等功能，或者說，這些功能需要在終端分離，有另一種遙控器來操作維護，而這個遙控器只需要由維護人員掌握即可，也就是終端權(quán)限分離的機制。

2.客戶端的配置信息進行加密

對所有服務(wù)器端口信息，地址信息，尤其賬號密碼信息至少進行一次加密然后再存儲，這樣可以解決即使使用了維護遙控器拿到控制權(quán)限，也無法讀取明文的服務(wù)器和賬號密碼信息。

3.在控制端把控制權(quán)限分級

維護人員只能配置地址，端口，參數(shù)等等信息，并不能直接登錄EPG系統(tǒng)的任何業(yè)務(wù)功能，所有的業(yè)務(wù)應(yīng)用功能需內(nèi)部驗證內(nèi)網(wǎng)IP(或指定的特定IP)才能登錄，這樣即使惡意攻擊者拿到了明文的登陸地址和明文賬號密碼也不能登陸篡改信息。