lunes, 12 de junio de 2017

PENTESTING A FPBX-2.8.1 Elastix Server VoIP


Comenzamos el pentesting haciendo un escaneo de puertos con NMAP, vemos que el host tiene el puerto 443 abierto, esto indica un servicio ssl/http, entramos con el navegador y vemos un panel de login, en el icono aparece el símbolo de ELASTIX, señal casi irrefutable de hay un servicio de VoIP.


Usaremos la suite de herramientas sipvicious que nos permitirá auditar sistemas de VoIP. Para saber los dispositivos SIP que hay en la red usaremos la herramienta svmap.py.

SIP es un protocolo de control de capa de aplicación que puede establecer, modificar y finalizar sesiones multimedia (conferencias) como llamadas de telefonía por Internet. SIP también puede invitar a los participantes a sesiones ya existentes, como las conferencias de multidifusión.
Los clientes SIP normalmente utilizan TCP o UDP en los números de puerto 5060 y / o 5061 para conectarse a servidores SIP y otros puntos finales SIP. El puerto 5060 se utiliza comúnmente para tráfico de señalización no cifrado, mientras que el puerto 5061 se usa típicamente para tráfico cifrado con TLS. SIP se utiliza principalmente en la configuración y destrucción de llamadas de voz o video.
Gracias a esa herramienta obtrendremos la versión de Free PBX/Elastix. A continuación, necesitamos encontrar extensiones válidas, para ello hacemos uso de la herramienta svwar.py

 
La opción -D permite escanear las extensiones predeterminadas y la opción -m especifica un método de solicitud (INVITE indica que un cliente está siendo invitado a participar en una sesión de llamada)

Una vez sabemos la versión y las extensiones válidas, vamos a buscar un exploit, usamos la herramienta searchsploit, con ella encontramos una vulnerabilidad de Remote Code Execution en la aplicación, configuramos el archivo en python para que se adecue a nuestras necesitades.


Abrimos un listener con netcat y ejecutamos el archivo en python del exploit. Nos hacemos root gracias a nmap.


En este caso, el archivo sudoers contiene una entrada para el usuario de asterisk que le permite ejecutar el comando sudo sin introducir una contraseña.

 Contenido del archivo /etc/sudoers

Para los interesados en la seguridad de VoIP:
https://www.amazon.com/Hacking-Exposed-VoIP-Security-Solutions/dp/0072263644
https://www.amazon.com/Hacking-VoIP-Protocols-Attacks-Countermeasures/dp/1593271638
Previous Post
Next Post

post written by:

0 comentarios: