Sign up for a free recipe e-book →

Juan Oliva

Metasploit y VOIP

Published by

jroliva

on

Desde hace unos meses que vengo profundizando el tema de desarrollo de exploits , justamente por un modulo del curso de «scripting para pentests»que me toco preparar, posteriormente hablare de ello.

En este camino, es imperdible tocarse con este maravilloso framework para desarrollo  y ejecución de exploits , «Metasploit» , el cual se ha convertido en la herramienta por excelencia para la explotación de diversas vulnerabilidades.

En este caso, exploits disponibles para voz sobre IP , tenemos algunos y vamos a ver como los ubicamos :

Una vez que hemos ingresado a Metasploit vía msfconsole,  podemos realizar unas búsquedas para ubicar los exploits enfocados a VoIP

– Primero la búsqueda mas obvia :  «search voip»

Aquí vemos que tenemos un par de exploits como el que afecta al manager de asterisk y el de espofear una sesión sip

– Segundo , podemos hacer una búsqueda por el administrado de pbx por exelecia «search freepbx»

Aquí vemos que tenemos el famoso exploit  (es vez ya portado a metasploit ) del cual hablamos anteriormente

– Tercero , vamos a ver que podemos encontrar con la búsqueda  «search sip»

Aquí tenemos un poco de mas variedad , desde exploits y auxiliares , los cuales hacen identificación y hasta lo que hacen ennumeración extenciones.

– Probando un auxiliar
En este caso vamos a probar el auxiliar que realiza identificación de dispositivos sip en la red, basándose en el método REGISTER del protocolo.

A) Cargar el auxiliar :

B) Luego verificamos las opciones que podemos utilizar :

C) Configurar el auxiliar
Una vez que sabemos las opciones con las cuales podemos contar , vamos a configurarlo de la siguiente forma

D) Ejecutar
En este caso le hemos indicado a través de la variable RHOST  que realice un barrido del rango 192.168.10.2 hasta 192.168.10.254 para ejecutar el auxiliar , lo haremos con el comando «run»

Como vemos , hemos podido identificar varios dispositivos en la red , a través de las firmas y las opciones del protocolo sip que permiten esto.

Espero les sirva la información
Saludos

Una respuesta a “Metasploit y VOIP”

  1. Avatar de criminal case
    criminal case

    Great website you have here but I was wanting to know if
    you knew of any message boards that cover the same
    topics discussed here? I’d really love to be a part of group where I can get feedback from other knowledgeable individuals that share the same interest. If you have any recommendations, please let me know. Thanks!

    Responder

Deja un comentario

Juan Oliva

Consultor en Ciberseguridad y VoIP con mas de 16 años de experiencia en el campo, muy involucrado en proyectos de Ethical Hacking, análisis y explotación de vulnerabilidades en infraestructura, aplicaciones web, APIs y Móviles, pruebas de ingeniería social y revisión de código.

Entradas recientes