WooYun.org

上一次对该服务进行探测的时候，采用的是“由点及面，遍地撒网”的方式。而这一次，通过对机顶盒与有线网络的通讯进行监听，我将有针对性的指出其中尚存在问题的地方。
一.在打开机顶盒后，首先出现的便是这个画面

（图一）同时，机顶盒发出了两条请求：http://172.24.200.171/portal/demand/getRecommendNew.action?identify=notice

（图二）和http://172.24.200.171/portal/demand/getRecommendNew.action?identify=index

（图三）。而这个页面起的就是导航的作用。不难发现，第一个链接请求的是图一中下方文字部分，第二个链接请求的是旁边的配图。

（图四—图五）。在收看某一频道的的节目预告时，机顶盒会发出一个指向同一ip的请求：http:// 172.24.200.171/GetPrograms?client=xxx&resultType=json&channelIds=1409&month=1&day=25。所以，就观看电视而言，172.24.200.171 这个ip提供的服务的重要性不言而喻。但是，该机器上所使用的struct框架存在s2-009漏洞

（图六）。在getshell的过程中，发现nginx的配置文件中禁止了jsp文件的执行

（图七）。为了不影响该系统的正常工作，我未对该配置文件做修改。此次测试到此为止，仅作说明。
二.在使用机顶盒中的“营业厅”服务时，机顶盒会发送一条请求：http://10.205.22.158/appweb/login/login!checkLoginfoFromTV?keyno=xxx&regionCode=aaaa来获取用户的信息。
其中keyno为用户的服务编号，存在于用户IC卡中。该请求将会返回用户的证件号码，住址，联系方式。而该系统在处理这一请求时未严格验证用户身份，导致用户信息可遍历。虽然存在regionCode这一参数，但实际测试时发现只要keyno存在，不管regionCode为什么值，用户信息都会返回（详见图八最上方两小图），所以理论上整个省的信息都可遍历得到。以下是部分用户信息：

（图8-9）