Bir voip kullanıcısı, ağa dahil olduğunda SIP sunucuya kayıt olmak için mesaj gönderir. Bu mesaj içeriğinde saldırganı ve/veya pentester’ı ilgilendiren hassas bilgiler yer almaktadır. Bu bilgiler, kullanıcı bilgileri, kimlik doğrulama bilgileri gibi gibi önemli bilgilerdir.
Aşağıda örnek bir REGISTER başlık bilgileri bulunmaktadır.
Yerel ağda trafiği izleyen bir saldırgan, bir network paket kaydedicisi (network sniffer) ile bu trafiği izleyebilir. Wireshark bu iş için kullanılacak araçlardan biridir.
REGISTER mesajının içeriğinde, voip kullanıcısının caller id, ip adresi, parola bilgisi ve SIP extensionları bulunmaktadır. VoIP kullanıcısının parolası, MD5 hash’i olarak gönderilir ve ele geçirildiği durumda parolası kırılabilir.
Sipdump
Wireshark ile elde edilen trafiği, /pentest/passwords/sipcrack dizini altına sip.cap adıyla kaydedip, aşağıdaki şekilde simdump aracı ile authentication bilgileri ayıklanır.
User 1111 bilgileri sip-auth.txt dosyasına aktarıldı. Bir parola sözlüğü ile md5 hash kırılabilir.
Sipcrack
User 1111 parolası ‘hedehodo’ olarak tespit edilmiştir. Bu bilgiler ile o kullanıcı adına aramalar yapılabilir. Yeni saldırılar gerçekleştirilebilir.
Yazar: Ozan UÇAR / ozan.ucar@bga.com.tr