机顶盒(酒店，家用)渗透测试总结

机顶盒(酒店，家用)渗透测试总结

---

0x01 写在前面

今天是劳动节的最后一天，劳动节几天给自己放个假，今天终于可以闲下来，记录一下以前给某移做的酒店机顶盒的渗透测试，机顶盒的渗透测试也给我提升了很多的思路，同时也发现了很多机顶盒存在的漏洞风险，希望大家在酒店居住的时候，在不用的时候，尽量把电源关了。
此篇全程干货，请诸位认真看。

0x02 工具

酒店机顶盒

智慧机顶盒是某某物联网公司推出的一款搭载安卓系统的酒店智能终端设备。除了具备传统的电视机顶盒功能之外，还具备酒店应用管理系统功能，可应用于酒店、旅馆等服务场景。

显示器

用于接机顶盒用的

装有burpsuite等常用工具的笔记本

渗透用的

0x03 渗透思路

• 机顶盒本身，1. 查看机顶盒是否有USB接口，有的机顶盒上边是有USB接口的，那么这个时候，看看是否可以用adb 进行调试，如果可以调试，就可以向里面传输一下文件啥的。2. 检查硬件板卡上是否保留调试接口，可以看看调试信息输出。
• 固件方面，固件方面可以获取固件包，可以通过固件升级等手段获取固件包，然后用IDA,APKtool等工具进行反编译，调试。
• 软件方面，数据是否加密，是否可以篡改，信息是否可以被泄露等等，web端的渗透测试。机顶盒本身是一个安卓系统，其中会有个视屏APP，机顶盒主要的APP，主要的点播，视频都是这个APP。因此可以主要这个视屏APP来进行渗透测试。

0x04 机顶盒核心APP首页广告篡改

机顶盒首页广告篡改，不知道大家有没有发现，家里的，或者酒店的机顶盒中首页会强制播放一些广告，是不是很烦人，同时首页广告也是看的最多的，因此从广告切入，机顶盒的广告有两种方式播放，一种是本来就保存在机顶盒中，开机就播放，但是这种就只能一直播放一种广告，盈利有限。第二种，是向外部请求播放的广告，那么这种厂商就可以更换广告。这里的机顶盒是第二种，那么我们直接拦截请求过来的视频信息，将其改为我自己想播放的视频，QAQ。当然也可以试一试替换图片等其他的信息。
渗透过程如下:
1） 先配置机顶盒的网络环境，这里的网路环境需要从笔记本开个共享WiFi，然后机顶盒连接由笔记本开启的WiFi，这么做的原因是为了让机顶盒请求的数据，流量都通过笔记本，然后设置和burpsuit之间的代理。

2）通过wirshark进行抓包分析，找到首页广告的数据包，从中提取广告链接，这里会发现机顶盒会从云端下载首页广告视频。
http://xxx.xxx.xxx.xxx:xxx/adv/qc201xxx0-ga.mp4
3) 再重新启动机顶盒，使用burpsuite拦截请求的视频路径
![在这里插入图片描述](https://img-blog.csdnimg.cn/20200505121154967.png
4）将首页广告链接拦截篡改为任意视频地址，如http://xxx.xxx.xxx.xxx:28062/adv/weixin4.mp4，这里的地址是我自己的云服务器的地址，该地址所存放视频被作为首页广告视频播放。
我刚开始是手动篡改，不管怎么篡改都没有达到效果，于是我用burpsuite中的自动替换，匹配字段，替换为我要的信息。
如下图所示：

0x05 机顶盒云服务平台数据泄露

现在的酒店，客厅，基本上都会有一台电视，不过现在都是机顶盒，或者投影仪，这两者都没啥大区别，都是安卓系统，搭载一个主要的播放APP。那么用户会注册用户，填写一些电话号码，姓名等个人信息。
渗透过程如下:
1）将机顶盒WIFI连接设置为代理模式，代理服务器IP和端口与Burpsuite工具设置一致。

2） 设置机顶盒的网络为代理。

3）机顶盒首页中有一个WIFI模块，点击进去会有网络监测的功能，抓包发现当进行网络检测的时候，会有一堆关于敏感信息的数据包，于是对数据包中的MAC地址使用Burpsuite进行MAC地址遍历。

4）造成的结果：发现大量的机顶盒MAC地址，并根据返回的字符串，可以发现其它MAC地址对应的机顶盒信息，如mac,ip,port,modifyPassword,phone等。同时会泄露用户的个人信息，隐私信息，数量极大。

0x06 总结

对机顶盒的渗透测试这里只介绍两个漏洞，介绍一些对机顶盒渗透测试的点，其实机顶盒的漏洞还是有很多的，例如有的机顶盒里的安卓系统版本就很低，低版本就意味着漏洞会更多，问题也会更多。另一种播放仪器投影仪和机顶盒的构造差不多，也是一个安卓系统搭载视屏APP，有机会以后对投影仪搞一波。这里提醒大家，机顶盒之类的，尽量不要输入自己居住地址，电话号码等敏感信息。

此处果有可乐，我即别无所思。