WooYun.org

江苏有线苏州有线电视网络依托的是有线电视的cable线，通过docsis2.0协议传输网络，故事就从最接近用户的cable modem开始
之所有耗时数月，是因为对docsis的了解从零开始，自己不断摸索，走了非常多的弯路，要是有一个老师有多么的温馨。
1.了解身边的cable modem（想知道cable modem工作原理的，可以百度：cable modem工作原理）
现在家里用的cable modem是摩托的SB5101NE，网上找了一个配图，没错，一模一样：

在看了无数文档之后得知，moto的cm（cable model的简称）有一个管理的IP地址：192.168.100.1，并得知默认情况下该cm开通了snmp,community为public
于是用mibbrowser查看该设备

能查看到该cm获取到的ip地址，tftp的IP地址，dhcp服务器的ip地址还有该cm获取到的docsis配置文件

从上图可以看到，我家里的有线带宽是10M，tftp拿到的配置文件是szcmsz10M_v2.0.bin，家里的网络多少M，全由这个配置文件说了算
szcmsz4M_v2.0.bin 对应的是4M的带宽
szcmsz8M_v2.0.bin 对应的是8M的带宽
szcmsz20M_v2.0.bin 对应的是20M的带宽
没错，换一个配置文件就可以免费提升带宽，但是最好不要这样做，因为那样做就违法了。
今天的重点并不是要介绍你怎么去免费提升你的带宽，而是由此拖出来的一系列有线带宽运维的问题。
2.从上面拿到的dhcp ip地址和tftp ip地址，可以大概猜测有线网络的服务应该是一个大的局域网范围，先用nmap对172.18.0.0/16这个段做个扫描，看能发现点什么

通过扫描发现：
172.18.0.0段能访问的主机有823台，不排除里面有一些网络设备，不一定全是服务器

开通22端口的149台

开通80端口的21台

开通8080的36台

mssql 6台

Mysql 11台

疑似ESXI15台

3.找到上面拿到的dhcp server的ip和 tftp的ip ，发现两个都是cisco的network registrar

4.构造弱口令：
通过真空密码字典生成器自定义字符串生成字典
5.使用生成的字典对上面的服务进行爆破

太幸运，密码如此简单

6.通过测试发现，网络中有大量的register,还有一些旧版的，密码都相同

还有：
172.18.15.118
172.18.15.119
172.18.15.120
172.18.15.121
172.18.15.122
172.18.15.123
172.18.15.147
172.18.15.148
172.18.15.149
172.18.15.150
172.18.15.151
172.18.15.152
172.18.15.153
就不截图了
172.18.12.54是一个cacti的程序，且数据库存在弱口令，可直接getshell，可创建账号，可远程登录

【shell和账号已经删除】
172.18.12.90 ftp弱口令，大量内容可下载

通过获取ftp的代码发现数据库连接字串，成功连接数据库，且可以进一步获取root权限

172.18.14.195:8080 视频审核平台，用户名和密码写在代码里面，可直接登录

172.18.15.2 mysql root用户竟然没有密码

http://172.18.15.2:6080 广电应用监控平台弱口令

好高大上

172.18.15.22:8080/ jboss漏洞

可上传shell 【shell已经删除】
通过查看22用户目录下面的文件发现一个可以登录shell的用户名和密码，尝试登录成功，于是尝试登录临近几个服务器，成功，存在问题的服务器如下，一共发现40台，可能还有其它：

连接一两个证明一下

172.18.20.5 172.18.20.6 大唐AC弱口令

172.18.20.8/main.asp 汉明AC弱口令，其中大量银行接入该AC

172.18.20.62:8080/imc/ 华三imc弱口令

最后来个压轴的，Dell所有服务器remote control弱口令，可远程关闭重启服务器，随便搞一台，苏州整个有线网络都要受影响，因为上面跑的各种虚拟机，ip从67-82都可以访问：
172.18.21.67
172.18.21.68
172.18.21.69
172.18.21.70
172.18.21.71
172.18.21.72
。。。
172.18.21.82
拿67和82登录做下证明