Не наживы ради, а с целью получения знаний решил исследовать IPTV/DVB-S2 приставку одного известного провайдера. Опыта в этих делах у меня не много, но я стараюсь учиться. Вот и здесь пишу, чтобы услышать ваши советы.
Что я сделал и что нашёл.
Приставка может работать как в спутниковом режиме, так и в OTT режиме. Эксплуатировал я её как раз в OTT режиме.
Сетевое сканирование показало что стандартных открытых портов нет. Есть порядка 10 открытых портов выше 40000. Что-то типа 40080, 40443, 40123, 45080 Предполагаю, что стандартные порты 80 и 443 были перенесены на "верх".
Nmap определил ОС как Linux kernel 3.X
пытался просканировать порты 80 на наличие стандартных директории, но везде 404.
443 порты отвечают, видно данные сертификата, но опять же дальше дело не пошло.
Попытка вытянуть что-то из открытых портов не удалась. Наверное, я делал что-то не так.
Далее, подключил приставку, настроил зеркалирование портов на микротике(приставка подключена к нему по меди). Большая часть трафика шифрована TLS v1.2. Есть не шифрованный траффик по которому происходят запросы плейлистов с сервера. Сервер также передаёт плейлисты в открытом виде. Что-то вроде того:
GET /server_dir_match_sd/plst.m3u8 HTTP/1.1\r\n
Сервер отвечает:
#EXTM3U
#EXT-X-VERSION:3
#EXT-X-TARGETDURATION:10
#EXT-X-MEDIA-SEQUENCE:162754230
#EXT-X-KEY:METHOD=AES-128,URI="https://crypto_key_link/cek_key/cryp...9-5d352985fe73",IV=0x00000000000000000000000009b36eb6
#EXT-X-PROGRAM-DATE-TIME:2021-07-29T07:05:00+00:00
#EXTINF:10.0000,
c_54230.ts
#EXT-X-KEY:METHOD=AES-128,URI="https://crypto_key_link/cek_key/cek_...9-5d352985fe73",IV=0x00000000000000000000000009b36eb7
#EXTINF:10.0000,
c_54231.ts
#EXT-X-KEY:METHOD=AES-128,URI="https://crypto_key_link/cek_key/f1f7...9-5d352985fe73",IV=0x00000000000000000000000009b36eb8
#EXTINF:10.0000
....
Провёл атаку MITM на шифрованный трафик. Приёмник сразу заткнулся. Сертификаты прописаны жёстко, тут похоже ничего не сделаешь????
MITM на не шифрованный трафик работает. Можно подсовывать приставке любые линки http hls открытые или же закрытые с сервера провайдера, он их воспроизводит. То есть можно заставить приставку показывать один канал на любом другом канале. Типа первый вместо всех оставшихся. Приставка при этом работает корректно и показывает epg от канала указанного у него в списке.
Также были замечены пакеты от приставки
GET /generate_204 HTTP/1.1\r\n на гугловские ипишники
возможно это проверка доступности интернета, так как если их дропать приставка затыкается.
Приставка периодически запрашивает обновление. Запрос в открытом виде. Ответ с линком на прошивку от сервера, также приходит в открытом виде. Мне повезло и вышла новая версия прошивки, я её скачал по перехваченной ссылке. Запросы можно от приставки редактировать и поэтому в теории, наверное, можно приставку заставить принять левую прошивку. Хотя тут тоже всё не просто.
Прошивка открывается архиватором(в конце архива есть цифровая подпись вида:
-----BEGIN SIGNATURE-----
длинной 256 байт
-----END SIGNATURE-----
).
Там несколько файлов в одном из файлов стандартная линуксовая структура папок(если опять же открыть архиватором). Полазил по папкам, выяснил что в приставке как-то используется BusyBox, D-Bus, удалось вытащить какой-то сертификат ssl подписанный как раз производителем прошивок.
По имеющимся файлам стало понятно, что проц какой-то ARM. Ещё один файл по сигнатуре распознаётся как образ ubifs. Но примонтровать его под debian не вышло. Остальные файлы не имеют публичных сигнатур. Думаю, что всё самое интересное находиться там.
Нашёл также конфиги для COM порта с указанием скорости, чётности и тд. Вскрытие приставки показало, что распаянного COM там нет. Даже нет пятачков для распайки.
Подскажите в каком направлении дальше двигаться? Какой вектор применить?
Древовидный вид