Asterisk SIP服务器:从“信息”到“漏洞利用”
Carrie Roberts //
提示: 本博文中提到的技术和工具可能已过时,不适用于当前环境。但本文仍可作为学习机会,并可能集成到现代工具和技术中。
通过这次经历,我学到了一些新知识,未来我会更加关注Nessus报告中“Asterisk检测”的信息类发现……
在一次外部网络扫描中,Nessus报告了两台运行Asterisk SIP服务的主机,并将其归类为信息类发现。
在浏览器中输入IP地址时,只返回了一个空白页面。但我使用Dirbuster对其进行目录扫描,并在http://<IP地址>/mobile找到了一个登录页面。
查看该页面的服务器响应,发现JavaScript中泄露了分机号和用户名。
IPitomy用户手册指出,这些系统上存在一个登录页面:http://<IP地址>/ippbx。该登录页面如下图所示。
手册说明默认管理员凭据为pbxadmin:ipitomy,非管理员用户的用户名始终是其分机号,默认密码也等于分机号。例如,分机号123的用户名为123,默认密码为123。
在本案例中,默认管理员凭据无效,但部分默认用户凭据有效。我使用Burp Suite的Intruder功能,对分机号100-999尝试相同的用户名和密码猜测。在Burp Intruder中,我使用Battering ram攻击类型,在所有定义位置放置相同载荷,如下图所示。
在Payloads选项卡中,我将载荷类型设置为“Numbers”,数字范围从100到999,步长为1。
部分账户使用了默认密码。通过比较响应长度,可以在Intruder结果窗口中识别成功的登录凭据。在本例中,响应长度361与231的差异是指标。
比较响应长度通常是快速确定Intruder攻击成功的好方法,但当响应长度不足以作为指标时,使用grep提取选项是救星。您可以在Intruder选项菜单中定义要提取的响应部分,如下图所示。
我将grep提取表达式设置为显示“ocation:”之后和“Vary:”之前的任何文本,以提取重定向响应中的Location头部。
这使得成功的响应非常突出,如下图所示。
成功登录后,用户可以配置呼叫设置(如呼叫转移)、查看呼叫日志和收听语音邮件。
最后,我检查了账户锁定机制:在一分钟内猜测100个错误密码,然后立即使用正确密码成功登录。这意味着由于用户名已知且没有账户锁定机制,其他密码很可能通过暴力破解被发现。
总而言之,这次Nessus报告的“Asterisk检测”信息类发现导致了本案例中三项漏洞的发现:
- 登录页面上泄露员工姓名和关联电话分机号的信息披露。
- 通过默认凭获非管理员账户访问权限,从而访问呼叫设置和语音邮件。
- 没有账户锁定机制来防止对已知分机号的密码猜测。
您可以通过Carrie的课程了解更多!
查看这里:
攻击仿真工具:Atomic Red Team、CALDERA等
PowerShell用于信息安全
提供实时/虚拟和点播课程!
等待是最难的部分:紫队对MS15-034服务检测的看法 – Tomcat管理器,从“信息”到“漏洞利用”
[返回顶部]
Black Hills Information Security, Inc.
890 Lazelle Street, Sturgis, SD 57785-1611 | 701-484-BHIS (2447)
© 2008-2024
关于我们 | BHIS部落公司 | 隐私政策 | 联系我们
链接
搜索网站