* Você trabalha em uma **empresa de segurança cibernética**? Você quer ver sua **empresa anunciada no HackTricks**? ou você quer ter acesso à **última versão do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Adquira o [**swag oficial do PEASS & HackTricks**](https://peass.creator-spring.com)
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo telegram**](https://t.me/peass) ou **siga-me** no **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
Um dos primeiros passos que uma Equipe Vermelha pode fazer é procurar números de telefone disponíveis para entrar em contato com a empresa usando ferramentas OSINT, pesquisas no Google ou raspagem das páginas da web.
Saber se o operador oferece serviços VoIP pode ajudar a identificar se a empresa está usando VoIP... Além disso, é possível que a empresa não tenha contratado serviços VoIP, mas esteja usando cartões PSTN para conectar sua própria PBX VoIP à rede telefônica tradicional.
* **`nmap`** é capaz de escanear serviços UDP, mas devido ao número de serviços UDP sendo escaneados, é muito lento e pode não ser muito preciso com esse tipo de serviço.
*`svmap` é **fácil de bloquear** porque usa o User-Agent `friendly-scanner`, mas você pode modificar o código em `/usr/share/sipvicious/sipvicious` e alterá-lo.
* **`sipscan.py`** do [**sippts**](https://github.com/Pepelux/sippts)**:** O Sipscan é um scanner muito rápido para serviços SIP sobre UDP, TCP ou TLS. Ele utiliza multithread e pode escanear grandes faixas de redes. Permite indicar facilmente um intervalo de portas, escanear tanto TCP quanto UDP, usar outro método (por padrão, usará OPTIONS) e especificar um User-Agent diferente (e mais).
O Metasploit é uma poderosa ferramenta de teste de penetração que permite aos hackers explorar vulnerabilidades em sistemas de rede. Ele fornece uma ampla gama de módulos e exploits que podem ser usados para comprometer sistemas VoIP. O Metasploit é amplamente utilizado por profissionais de segurança e hackers éticos para testar a segurança de redes e sistemas.
As extensões em um sistema PBX (Private Branch Exchange) se referem aos **identificadores internos únicos atribuídos a linhas telefônicas, dispositivos ou usuários individuais** dentro de uma organização ou empresa. As extensões tornam possível **encaminhar chamadas dentro da organização de forma eficiente**, sem a necessidade de números de telefone externos individuais para cada usuário ou dispositivo.
* **`svwar`** do SIPVicious (`sudo apt install sipvicious`): `svwar` é um scanner de linhas de extensão SIP PBX gratuito. Em conceito, funciona de forma semelhante aos wardialers tradicionais, **adivinhando uma faixa de extensões ou uma lista de extensões fornecida**.
* **`sipextend.py`** do [**sippts**](https://github.com/Pepelux/sippts)**:** Sipextend identifica extensões em um servidor SIP. Sipextend pode verificar grandes redes e faixas de porta.
* **`enumiax` (`apt install enumiax`): enumIAX** é um **enumerador de força bruta de nomes de usuário** do protocolo Inter Asterisk Exchange (IAX). O enumIAX pode operar em dois modos distintos; Adivinhação Sequencial de Nomes de Usuário ou Ataque de Dicionário.
Ao descobrir o **PBX** e alguns **ramais/nomes de usuário**, uma Equipe Vermelha pode tentar **autenticar-se via método `REGISTER`** em um ramal usando um dicionário de senhas comuns para forçar a autenticação.
Observe que um **nome de usuário** pode ser o mesmo que o ramal, mas essa prática pode variar dependendo do sistema PBX, sua configuração e as preferências da organização...
* **`svcrack`** do SIPVicious (`sudo apt install sipvicious`): O SVCrack permite que você quebre a senha de um nome de usuário/ramal específico em um PBX.
* **`sipcrack.py`** do [**sippts**](https://github.com/Pepelux/sippts)**:** SIP Digest Crack é uma ferramenta para quebrar autenticações de digest dentro do protocolo SIP.
Se você encontrar equipamentos de VoIP dentro de uma **rede Wi-Fi aberta**, você pode **capturar todas as informações**. Além disso, se você estiver dentro de uma rede mais fechada (conectada via Ethernet ou Wi-Fi protegida), você pode realizar ataques de **MitM, como** [**ARPspoofing**](../../generic-methodologies-and-resources/pentesting-network/#arp-spoofing) entre o **PBX e o gateway** para capturar as informações.
Entre as informações de rede, você pode encontrar **credenciais web** para gerenciar o equipamento, **extensões de usuário**, **nome de usuário**, **endereços IP**, até mesmo **senhas criptografadas** e **pacotes RTP** que você pode reproduzir para **ouvir a conversa**, e muito mais.
Para obter essas informações, você pode usar ferramentas como Wireshark, tcpdump... mas uma **ferramenta especialmente criada para capturar conversas de VoIP é** [**ucsniff**](https://github.com/Seabreg/ucsniff).
[Verifique este exemplo para entender melhor uma **comunicação SIP REGISTER**](basic-voip-protocols/sip-session-initiation-protocol.md#sip-register-example) para aprender como as **credenciais são enviadas**.
* **`sipdump`** &**`sipcrack`,** parte do **sipcrack** (`apt-get install sipcrack`): Essas ferramentas podem **extrair** de um **pcap** as **autenticações de digest** dentro do protocolo SIP e **forçar a quebra de senha**.
**Não apenas as credenciais SIP** podem ser encontradas no tráfego de rede, também é possível encontrar códigos DTMF que são usados, por exemplo, para acessar a **caixa postal**.\
É possível enviar esses códigos em mensagens SIP **INFO**, em **áudio** ou dentro de pacotes **RTP**. Se os códigos estiverem dentro de pacotes RTP, você pode cortar essa parte da conversa e usar a ferramenta multimo para extraí-los:
Se um endereço IP for especificado, o host **não precisará enviar solicitações REGISTER** de tempos em tempos (no pacote REGISTER é enviado o tempo de vida, geralmente 30 minutos, o que significa que em outro cenário o telefone precisará se REGISTRAR a cada 30 minutos). No entanto, será necessário ter portas abertas permitindo conexões do servidor VoIP para receber chamadas.
Quando **`type=friend`** é usado, o **valor** da variável **host****não será usado**, então se um administrador **configurar incorretamente um SIP-trunk** usando esse valor, **qualquer pessoa poderá se conectar a ele**.
No Asterisk, um **contexto** é um contêiner ou seção nomeado no plano de discagem que **agrupa extensões, ações e regras relacionadas**. O plano de discagem é o componente central de um sistema Asterisk, pois define **como as chamadas de entrada e saída são tratadas e roteadas**. Os contextos são usados para organizar o plano de discagem, gerenciar controle de acesso e fornecer separação entre diferentes partes do sistema.
Cada contexto é definido no arquivo de configuração, geralmente no arquivo **`extensions.conf`**. Os contextos são indicados por colchetes, com o nome do contexto entre eles. Por exemplo:
Dentro do contexto, você define extensões (padrões de números discados) e as associa a uma série de ações ou aplicativos. Essas ações determinam como a chamada é processada. Por exemplo:
Este exemplo demonstra um contexto simples chamado "meu\_contexto" com uma extensão "100". Quando alguém discar 100, a chamada será atendida, uma mensagem de boas-vindas será reproduzida e, em seguida, a chamada será encerrada.
Além disso, por padrão, o arquivo **`sip.conf`** contém **`allowguest=true`**, então **qualquer** atacante sem autenticação poderá ligar para qualquer outro número.
***`sipinvite.py`** do [**sippts**](https://github.com/Pepelux/sippts)**:** O Sipinvite verifica se um servidor PBX nos permite fazer chamadas sem autenticação. Se o servidor SIP tiver uma configuração incorreta, ele nos permitirá fazer chamadas para números externos. Também pode nos permitir transferir a chamada para um segundo número externo.
Por exemplo, se o seu servidor Asterisk tiver uma má configuração de contexto, você pode aceitar solicitações INVITE sem autorização. Nesse caso, um atacante pode fazer chamadas sem saber nenhum usuário/senha.
IVRS significa **Sistema de Resposta de Voz Interativa**, uma tecnologia de telefonia que permite aos usuários interagir com um sistema informatizado por meio de comandos de voz ou teclas de toque. O IVRS é usado para construir sistemas de **atendimento automático de chamadas** que oferecem uma variedade de funcionalidades, como fornecer informações, encaminhar chamadas e capturar entradas do usuário.
1.**Prompts de voz**: Mensagens de áudio pré-gravadas que guiam os usuários pelas opções de menu e instruções do IVR.
2.**Sinalização DTMF** (Dual-Tone Multi-Frequency): Entradas de teclas de toque geradas ao pressionar teclas no telefone, que são usadas para navegar pelos menus do IVR e fornecer entrada.
3.**Roteamento de chamadas**: Direcionar chamadas para o destino apropriado, como departamentos específicos, agentes ou ramais com base na entrada do usuário.
4.**Captura de entrada do usuário**: Coletar informações dos chamadores, como números de conta, IDs de casos ou quaisquer outros dados relevantes.
5.**Integração com sistemas externos**: Conectar o sistema IVR a bancos de dados ou outros sistemas de software para acessar ou atualizar informações, realizar ações ou disparar eventos.
Em um sistema VoIP Asterisk, você pode criar um IVR usando o plano de discagem (arquivo **`extensions.conf`**) e várias aplicações, como `Background()`, `Playback()`, `Read()`, e outras. Essas aplicações ajudam a reproduzir prompts de voz, capturar a entrada do usuário e controlar o fluxo da chamada.
O exemplo anterior é um caso em que o usuário é solicitado a **pressionar 1 para ligar** para um departamento, **2 para ligar** para outro, ou **a extensão completa** se ele a souber.\
A vulnerabilidade está no fato de que o **comprimento da extensão indicada não é verificado, então um usuário poderia inserir um número completo durante o tempo limite de 5 segundos e ele será chamado.**
No entanto, se **`${EXTEN}`** permitir a introdução de **mais do que números** (como em versões mais antigas do Asterisk), um atacante poderia introduzir **`101&SIP123123123`** para ligar para o número de telefone 123123123. E este seria o resultado:
Portanto, uma chamada para a extensão **`101`** e **`123123123`** será enviada e apenas a primeira que receber a chamada será estabelecida... mas se um atacante usar uma **extensão que ignore qualquer correspondência** que esteja sendo feita mas não exista, ele poderá **injetar uma chamada apenas para o número desejado**.
O SIP Digest Leak é uma vulnerabilidade que afeta um grande número de telefones SIP, incluindo telefones IP de hardware e software, bem como adaptadores telefônicos (VoIP para analógico). A vulnerabilidade permite o **vazamento da resposta de autenticação Digest**, que é calculada a partir da senha. Um **ataque de senha offline é então possível** e pode recuperar a maioria das senhas com base na resposta do desafio.
7. O **atacante pode então realizar um ataque de força bruta** na resposta do desafio em sua máquina local (ou rede distribuída etc) e adivinhar a senha
Click2Call permite que um **usuário da web** (que, por exemplo, pode estar interessado em um produto) **introduza** seu **número de telefone** para receber uma ligação. Em seguida, um comercial será chamado e, quando ele **atender o telefone**, o usuário será **chamado e conectado ao agente**.
* O perfil anterior está permitindo **QUALQUER endereço IP se conectar** (se a senha for conhecida).
* Para **organizar uma chamada**, como especificado anteriormente, **não é necessário ter permissões de leitura** e **apenas** a permissão de **origem** em **escrita** é necessária.
No Asterisk, é possível usar o comando **`ChanSpy`** indicando a(s) **extensão(ões) para monitorar** (ou todas elas) para ouvir as conversas que estão acontecendo. Este comando precisa ser atribuído a uma extensão.
Por exemplo, **`exten => 333,1,ChanSpy('all',qb)`** indica que se você **ligar** para a **extensão 333**, ela irá **monitorar****`todas`** as extensões, **começar a ouvir** sempre que uma nova conversa começar (**`b`**) em modo silencioso (**`q`**) pois não queremos interagir nela. Você pode ir de uma conversa para outra pressionando **`*`**, ou marcando o número da extensão.
**RTCPBleed** é um grande problema de segurança que afeta servidores VoIP baseados em Asterisk (publicado em 2017). A vulnerabilidade permite que o tráfego **RTP (Real Time Protocol)**, que transporta conversas VoIP, seja **interceptado e redirecionado por qualquer pessoa na Internet**. Isso ocorre porque o tráfego RTP contorna a autenticação ao passar por firewalls NAT (Network Address Translation).
Os proxies RTP tentam resolver as **limitações do NAT** que afetam os sistemas RTC, fazendo a mediação dos fluxos RTP entre duas ou mais partes. Quando o NAT está em vigor, o software do proxy RTP muitas vezes não pode confiar nas informações de IP e porta RTP obtidas por meio de sinalização (por exemplo, SIP). Portanto, vários proxies RTP implementaram um mecanismo em que esse **tuplet de IP e porta é aprendido automaticamente**. Isso é frequentemente feito inspecionando o tráfego RTP de entrada e marcando o IP e a porta de origem para qualquer tráfego RTP de entrada como aquele que deve ser respondido. Esse mecanismo, que pode ser chamado de "modo de aprendizado", **não utiliza nenhum tipo de autenticação**. Portanto, **atacantes** podem **enviar tráfego RTP para o proxy RTP** e receber o tráfego RTP intermediado destinado ao chamador ou receptor de um fluxo RTP em andamento. Chamamos essa vulnerabilidade de RTP Bleed porque ela permite que os atacantes recebam fluxos de mídia RTP destinados a usuários legítimos.
Outro comportamento interessante dos proxies RTP e das pilhas RTP é que, às vezes, **mesmo que não sejam vulneráveis ao RTP Bleed**, eles irão **aceitar, encaminhar e/ou processar pacotes RTP de qualquer origem**. Portanto, os atacantes podem enviar pacotes RTP que podem permitir que eles injetem sua própria mídia em vez da legítima. Chamamos esse ataque de injeção RTP porque ele permite a injeção de pacotes RTP ilegítimos em fluxos RTP existentes. Essa vulnerabilidade pode ser encontrada tanto em proxies RTP quanto em pontos de extremidade.
O Asterisk e o FreePBX tradicionalmente usam a configuração **`NAT=yes`**, que permite que o tráfego RTP contorne a autenticação, o que pode resultar em áudio ausente ou unidirecional em chamadas.
* **`rtpbleedinject.py`** do [**sippts**](https://github.com/Pepelux/sippts)**:** Explora a vulnerabilidade RTP Bleed enviando fluxos RTP (de um arquivo de áudio)
No Asterisk, se você de alguma forma conseguir **adicionar regras de extensão e recarregá-las** (por exemplo, comprometendo um servidor de gerenciamento web vulnerável), é possível obter RCE usando o comando **`System`**.
Se o servidor estiver **proibindo o uso de certos caracteres** no comando **`System`** (como no Elastix), verifique se o servidor da web permite **criar arquivos de alguma forma dentro do sistema** (como no Elastix ou trixbox) e use-o para **criar um script de backdoor** e, em seguida, use **`System`** para **executar** esse **script**.
* **`Elastix.conf`** -> Contém várias senhas em texto claro, como a senha root do mysql, a senha IMAPd e a senha do administrador da web.
* **Várias pastas** pertencerão ao usuário Asterisk comprometido (se não estiver sendo executado como root). Esse usuário pode ler os arquivos anteriores e também controla a configuração, portanto, ele pode fazer o Asterisk carregar outros binários com backdoor quando executado.
É possível inserir um arquivo **`.wav`** em conversas usando ferramentas como **`rtpinsertsound`** (`sudo apt install rtpinsertsound`) e **`rtpmixsound`** (`sudo apt install rtpmixsound`).
Ou você pode usar os scripts de [http://blog.pepelux.org/2011/09/13/inyectando-trafico-rtp-en-una-conversacion-voip/](http://blog.pepelux.org/2011/09/13/inyectando-trafico-rtp-en-una-conversacion-voip/) para **escanear conversas** (**`rtpscan.pl`**), enviar um arquivo `.wav` para uma conversa (**`rtpsend.pl`**) e **inserir ruído** em uma conversa (**`rtpflood.pl`**).
* [**inviteflood**](https://github.com/foreni-packages/inviteflood/blob/master/inviteflood/Readme.txt): Uma ferramenta para realizar ataques de inundação de mensagens SIP/SDP INVITE por UDP/IP.
* [**rtpflood**](https://www.kali.org/tools/rtpflood/): Envia vários pacotes RTP bem formados. É necessário saber as portas RTP que estão sendo usadas (fareje primeiro).
* **`sipsend.py`** do [**sippts**](https://github.com/Pepelux/sippts)**:** SIPSend nos permite enviar uma mensagem SIP personalizada e analisar a resposta.
* **`wssend.py`** do [**sippts**](https://github.com/Pepelux/sippts)**:** WsSend nos permite enviar uma mensagem SIP personalizada por meio do WebSocket e analisar a resposta.
A maneira mais fácil de instalar um software como o Asterisk é baixar uma **distribuição do sistema operacional** que já o tenha instalado, como: **FreePBX, Elastix, Trixbox**... O problema é que, uma vez em funcionamento, os administradores de sistema podem **não atualizá-los novamente** e vulnerabilidades serão descobertas com o tempo.
* Você trabalha em uma **empresa de cibersegurança**? Gostaria de ver sua **empresa anunciada no HackTricks**? Ou gostaria de ter acesso à **versão mais recente do PEASS ou baixar o HackTricks em PDF**? Verifique os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)!
* **Junte-se ao** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me no****Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Compartilhe seus truques de hacking enviando PRs para o** [**repositório hacktricks**](https://github.com/carlospolop/hacktricks) **e para o** [**repositório hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).
