Author: admin

Nachdem ich die letzten Tage relativ lustige Dinge mit Cisco Phones und dem Call Manager getrieben hatte und diverse Schwachstellen herausgestellt hatte, hatte ich für heute den Plan, ein wenig vom Doing wegzukommen und den organisatorischen Teil der Arbeit anzugehen.

Richtig produktiv war ich jedoch nicht, so dass ich weder den textuellen Teil des Entwurfs vorweisen kann, noch Inhaltsverzeichnis oder Literaturverzeichnis…

War irgendwie nicht mein Tag.

heute morgen haben wir (Stefan Neufeind – der Krefelder Bachelor – und ich) uns wieder an die Lösung des Packet-Injection-Problems gemacht und diese purzelte dann auch recht schnell aus Hirnen und Tastaturen in Form von sccpkill – einem leicht modifizierten tcpkill, das statt des TCP-Reset-Pakets einfach ein SCCP-Reset – Paket versendet sobald das Tool TCP-Traffic vom Phone zum Call Manager bemerkt.

Ein tcpkill hat übrigens den gleichen Effekt, ist aber nicht so elegant 😉

Von dieser Fingerübung angespornt, deren Sourcecode hier bald in Form einer Cisco 7960-Attack-Suite zu finden ist, haben wir dann versucht, weiteren Blödsinn mit den SCCP-Kommandos zu treiben und das Phone zum Klingeln zu bringen. Hat leider nicht geklappt, aber wir arbeiten dran.

Weitere Angriffszenarien umfassen einen DNS-Angriff um das telefoninterne Firmenverzeichnis auf einen feindlichen Rechner umzuleiten und im nächsten Schritt sogar ein komplettes Phone-Hijacking durch DNS-Spoofing und Asterisk in Verbindung mit chan_sccp.

Auch hier wird dran gearbeitet, aber nicht mehr heute, da ja heute Fuppes und Einkaufen angesagt sind.. morgen mehr dazu…

Neue Woche, neues Glück.

Mit Feuereifer machte ich mich heute an die Konfiguration des Call Managers, den ich am Mittwoch ja erfolgreich aufgesetzt hatte.

Ging relativ schnell und pünktlich um halb elf, nachdem ich herausgefunden hatte, dass der fucking CM noch TFTP, DHCP und DNS benötigt, um ordentlich zu funktionieren (alle Dienste sind aber brav in der gehärteten Windows-Version von Cisco deaktiviert), liefen zwei 7960 Phones zur Demonstration – “Opfer” der Demonstration war hier ein Student aus Krefeld, der im Rahmen seiner Bachelor-Arbeit ein Cisco-VoIP-Netz für das kommunale Rechenzentrum Moers aufsetzen darf.

Da die Jungs aber noch keine Hardware am Start hatten, spielten wir heute ein wenig zusammen an der CM-Kiste rum, die Ergebnisse sprechen dabei für sich:

– Cisco Phones scheinen ziemlich leicht zu arpspoofen zu sein
– Mit Hilfe von ettercap und einem anderen “Holzhammer-Arpspoofer” konnten wir dann in einem Demo-Netzwerk alle Pakete mitlesen
– Ethereal kann inzwischen auch die Payload der RTP-Pakete nach .au exportieren, also keine sophisticated tools mehr notwendig

Ein Telefongespräch abzuhören war also piece of cake. Dabei hat sich aber ebenfalls herausgestellt, dass die Cisco Phones ziemlich schnell absäbeln und sich im laufenden Betrieb gerne mal beenden und neu booten.

Dies hat sich inbesondere im Zusammenhang mit TCP-Interception mit ettercap gezeigt; sobald man hier Bullshit in die SCCP-Session zwischen Phone und CM injectet hat, schmierten die Phones ab.

Überhaupt scheint das leider nicht so einfach zu sein, dort Nicht-ASCII-Zeichenkombinationen einzuschleifen (SCCP ist ein Binärprotokoll), zumindest haben wir mit vereinten Kräften kein Tool gefunden, dass in TCP-Verbindungen bestimmte Pakete automatisch einschleusen kann – alles was es gab, waren Paket-Bautools, die aber für blind injection geschrieben waren. Auch netsed schien hier nicht sehr vielversprechend zu sein, leider.

Nach Feierabend hab ich dann noch den Stadtführer gegeben und wir sind natürlich, weil ja Montag war, im Grand Café gestandet und haben uns die AYCE-Wraps dort gegeben.

Und kaum war ich zu Hause, überraschte mich auch noch meine Freundin: “ach ich hatte mir gedacht, wie wäre es denn mit AYCE-Wraps im Grand Café???”. Naja, ich bin immerhin noch für ne Cola mitgegangen….