Asterisk SIP服务器：从“信息”到“Ouch”

Carrie Roberts //
注意： 本博客中提到的技术和工具可能已过时，不适用于当前情况。然而，这篇文章仍可作为学习机会，并可能更新或集成到现代工具和技术中。

我学到了一些新东西，这将让我在未来更加关注Nessus的“Asterisk Detection”信息性发现……

在一次外部网络扫描中，Nessus报告了两台运行Asterisk SIP服务的主机，作为信息性发现。

在浏览器中输入IP地址时，只返回了一个空白页面，但我对其运行了dirbuster，并在http://<ip地址>/mobile找到了一个登录页面。

查看该页面的服务器响应显示，用户名和分机号在JavaScript中被泄露。

IPitomy用户手册指出，这些系统上存在一个登录页面，位于http://<ip地址>/ippbx。该登录页面如下图所示。

手册指出，默认的管理员凭据是pbxadmin:ipitomy，非管理员用户的用户名始终是其分机号，默认密码也等于分机号。例如，分机号123的用户名是123，默认密码是123。

在这种情况下，默认的管理员凭据没有生效，但一些默认用户凭据有效。我使用Burp Suite的Intruder功能猜测了分机号100-999的相同用户名和密码。在Burp Intruder中设置此尝试时，我使用了Battering ram攻击类型，在所有定义的位置放置相同的有效载荷，如下所示。

在有效载荷选项卡上，我将有效载荷类型设置为“Numbers”，并将数字范围设置为从100到999，步长为1。

一些账户使用了默认密码。成功的登录凭据可以通过比较响应长度在Intruder结果窗口中识别。在这种情况下，响应长度361与231的差异是指标。

比较响应长度通常是快速确定Intruder攻击成功的好方法，但当响应长度不够明显时，使用grep提取选项是救星。您可以从Intruder选项菜单中定义要提取的响应部分，如下所示。

我将grep提取表达式设置为显示“ocation:”之后和“Vary:”之前的任何文本，以提取重定向响应中的位置头。

这使得成功的响应非常突出，如下所示。

成功登录后，用户可以配置呼叫设置，如呼叫转移、查看呼叫日志和收听语音邮件。

最后，我通过在一分钟内猜测100个错误密码，然后立即使用正确密码成功登录来检查账户锁定情况。这意味着由于用户名已知且没有账户锁定机制，其他密码可能通过暴力破解被发现。

总的来说，Nessus报告的“Asterisk Detection”信息性发现导致了在这种情况下发现三个漏洞。

1. 登录页面上泄露员工姓名和关联电话分机号的信息。
2. 通过默认凭获非管理员访问用户账户，获得呼叫设置和语音邮件的访问权限。
3. 没有账户锁定机制来防止对已知分机号的密码猜测。

您可以从Carrie的课程中学到更多！ 查看这里： 攻击模拟工具：Atomic Red Team、CALDERA等 PowerShell for InfoSec 提供实时/虚拟和点播课程！

等待是最难的部分：紫色团队对MS15-034服务检测的看法 – Tomcat Manager，从“信息”到“Ouch”