• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья Viproy - Пентестинг VoIP

Vander

Vander

CodebyTeam
Gold Team
16.01.2016
1 453
4 289
Привет, форум! Периодически, так как тема VoIP мне близка, я ищу инструменты для тестирования на проникновение своих серверов.

Да и просто побаловаться на VM, или поставить FreePBX на реальную тачку сымитировав настоящую атаку. Итак, на глаза мне попался инструмент, а на деле это набор дополнительных модулей для Metasploit Framework под названием Viproy.

Viproy - Пентестинг VoIP


Он поддерживает анализ протоколов SIP и Skinny, IP телефонных сервисов и инфраструктур сети. Помимо всего этого, Viproy предоставляет библиотеку для собственного фаззинга и анализа.

Вот официальный сайт проекта =>

Скачиваем оттуда архив с модулями.

Viproy - Пентестинг VoIP


После распаковки зайдем в папку viproy-voipkit-master, нас интересуют только две папки – modules и lib.

Viproy - Пентестинг VoIP


Открыв по очереди обе, несложно заметить, что они повторяют архитектуру Metasploit.

Viproy - Пентестинг VoIP


Для того чтобы это все заработало, необходимо скопировать содержимое этих папок в Metasploit.

Теперь необходимо изменить файл Mixins.rb File (lib/msf/core/auxiliary/mixins.rb) добавим в него следующие строки:

· require 'msf/core/auxiliary/sip'

· require 'msf/core/auxiliary/skinny'

· require 'msf/core/auxiliary/msrp'

Viproy - Пентестинг VoIP


Запускаем Metasploit Framework:

> msfconsole

Viproy - Пентестинг VoIP


При возникновении таких предупреждений, для каждого модуля необходимо провести следующие действия:

· Открыть файл модуля любым текстовым редактором

· Заменить в строке class Metasploit3 на MetasploitModule

Viproy - Пентестинг VoIP


Теперь можно смело тестировать модули. К тому же авторы предлагают скачать уязвимый сервер, чтобы на нем отрабатывать модули. Скачать можно тут -

Все модули работают нормально, но малоэффективны против современного программного обеспечения.

Viproy - Пентестинг VoIP


Мой Астериск ругается, но это не значит, что эксплоиты не работоспособны:

Viproy - Пентестинг VoIP


Спасибо за внимание.
 
D

DoberGroup

При возникновении таких предупреждений, для каждого модуля необходимо провести следующие действия:

· Открыть файл модуля любым текстовым редактором

· Заменить в строке class Metasploit3 на MetasploitModule
Ну мы же в линукс, идем в консоль и в нужной директории ( при типовой установке - /usr/share/metasploit-framework/modules/auxiliary/voip) выполняем:
Код:
find -type f -name \*.rb -exec sed -i -r 's/Metasploit3/MetasploitModule/g' {} \;
 
  • Нравится
Реакции: Chena
amstrot

amstrot

Member
30.04.2016
22
5
Привет! Скачал версию 4.1 пере закинул нужные файлы по месту назначения, в общем сделал всё как написано выше, запустил metasploit, заменил в строке class Metasploit3 на MetasploitModule и начал тестить наши установленные модули.
В модуле viproy_sip_enumerate выдаёт вот такие ошибки:
Viproy - Пентестинг VoIP


Viproy - Пентестинг VoIP

Обновил ruby не помогло, начал гуглить, но в силу того что я мало "волоку" в программирование я так и не понял указанное правило unshift в ruby... Вот указанные строки в ошибках:
Viproy - Пентестинг VoIP


Viproy - Пентестинг VoIP


Viproy - Пентестинг VoIP

Хотел посмотреть модули версии 4.0 не нашёл где скачать. В общем не знаю как поправить!?
 
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб