快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

手艺讨论 | 构建一个小巧的来电显示迷惑工具

*严正声明:本文仅用于手艺探讨,严禁用于其他非法路子。

Asterisk先容

记得在我刚入行安全行业的初期阶段,我便接手了一项无比棘手的义务。一个客户想要测试他们的电话收集是否存在与调制解调器相干的安全问题。然而,这对我来说是一个极大的挑战。因为我对调试解调器相干的渗透排泄手艺几乎全无所闻。

但荣幸的是,在正式义务最先之前我大约拥有两周的时间,让我去学习了解有关的手艺知识。经过两周左右的折腾,我学到了许多关于调制解调器的安全测试手艺,和电话以及Asterisk的知识。最重要的是,我学会了怎么样更改主鸣号码来迷惑用户,起初我认为这顶可能是一种恶作剧,但后来我发现,这是一门很实用的社会工程要领。

有些服务可觉得你自动实现此过程 – 有些服务甚至包含具有其他功能的挪移应用程序,如通话录音以及语音更改。然则,这些服务的每一次通话费用可能高达25美分。这对于那些每年需要拨打上千次电话的人来说,尽对是没法接受的。

而当我们使用本人的诈骗工具,即便拨打超过了2000个多电话,SIP服务提供商的账单终极也只显示了不到10美元的花销。

在此声明,我并不是什么PBX或电话方面的专家,也没有治理Asterisk的违景。只是希翼通过我的分享,能为那些与我面临一样搅扰的业内助士提供帮助。

在最先构建我们的VoIP来电显示诈骗工具之前,我们先来简单了解一下一些基本的术语:

SIP(会话提议协定)—— VoIP通讯的实际标准,用于连接时的初始身份验证以及会话协定。

RTP(实时传输协定)—— Chatty,用于在认证以及协商后传输音频。

IAX(Inter-Asterisk Exchange)—— Legacy,必须有中继才能从IAX转换为SIP服务提供商。

DISA(直接向内体系接入)——这有点像你的内部体系的VPN,以便你可以安全通话。

DID(直接向内拨号)——这是你的服务提供商调配的电话号码,类似于外部IP地址。

Asterisk配置

你需要将Asterisk服务器配置为可走访的地位 – 理想情形下为外部IP。然则,要是你打算使用VPN电话,softphone或端口转发,则内部NAT将起作用。FreePBX可觉得AWS AMI提供镜像。在开销方面要是你像我同样,一直保持开机状态,弹性计算每一月大约10美元左右,详细取决于PBX的使用情形。

一旦拥有了你的FreePBX捏造机,你就可以启动并运行了。详细过程以下:

启动:

关上服务提供商的SIP TCP/UDP 5060

你的公共IP地址的RTP UDP 10000-20000

配置 → Asterisk SIP配置

构建一个小巧的来电显示诈骗工具

确保外部地址以及内陆收集的准确性

构建一个小巧的来电显示诈骗工具

确保ulaw,alaw,gsm,网络黑客,g726编解码器复选框被勾选

构建一个小巧的来电显示诈骗工具

选择提供商并配置中继

一旦你选择了你认为合适的提供商,你就需要在Asterisk中配置你的SIP中继:

连接→中继→添加中继

构建一个小巧的来电显示诈骗工具

点击添加SIP(chan_sip)中继

配置你的中继名称

配置拨号号码操作规则

1 + NXXNXXXXXX

1NXXNXXXXXX

构建一个小巧的来电显示诈骗工具

配置你的中继名称

配置对等细节(peer detail)

配置用户使用环境以及用户具体信息

“Host”以及“FromDomain”是由服务提供商提供的,通常位于其网站的支持部分。

构建一个小巧的来电显示诈骗工具

在服务提供商的网站上,你需要创建SIP中继并指定你的外部IP地址,以允许入站连接,示例以下。

构建一个小巧的来电显示诈骗工具

配置SIP扩大

为了拨打你的Asterisk,你起首需要为外部DISA创建某种唯一标识符,以将其传递到内部的PBX。注意,Asterisk的扩大函数要与用户名相同。以下:

应用程序→扩大→添加扩大

构建一个小巧的来电显示诈骗工具

选择默认的“通用CHAN SIP设备”

显示名称应是用户名,且应该是数字(例如4位数字)

出局主鸣CID(Outbound CID)是应是来电显示,然后你可以根据需要对其进行自定义

注意:这是你手动配置主鸣ID的方式。目前,它可以随便配置,因为你可以在之后通过设置文件进行更改。

出局并发制约(Outbound Concurrency Limit )代表可以与该扩大同时进行的出局呼鸣的数量。要是有多人拨打电话,你需要确保这个号码可以被多人使用。

构建一个小巧的来电显示诈骗工具

为扩台甫配置暗码,其他统统都可以保持默认值

构建一个小巧的来电显示诈骗工具

使用Zoiper与Asterisk进行交互

现在,我们已经创建了一个SIP中继,通过我们的VoIP服务提供商对其进行设置,并配置了扩大以及暗码。现在我们可以使用softphone来拨打我们的Asterisk。

你起首需要下载Linphone softphone,它可以装置在Windows,Mac以及Linux上:

一旦你装置了Linphone,关上程序并点击“Account Assistant”。

构建一个小巧的来电显示诈骗工具

接下来,点击“使用SIP帐户”。

构建一个小巧的来电显示诈骗工具

使用我们从前创建的扩大,你将登录到Asterisk。要是你已经在外部的VPS上装置了Asterisk,就可以直接使用IP地址。否则,你将需要确保你已经配置了用于SIP以及RTP的内部Asterisk服务器的端口转发。

输入用户名(扩台甫),Asterisk的公共IP和为扩台甫设置的暗码,其他所有内容均为默认值。

构建一个小巧的来电显示诈骗工具

点击“使用”后,你将返归到Linphone主屏幕。接着,点击左上角将显示你的Linphone帐户。

构建一个小巧的来电显示诈骗工具

然后,选择我们在Asterisk注册的新创建的SIP帐户。

构建一个小巧的来电显示诈骗工具

最后,你可以通过在程序顶部的文本框中输入想显示的电话号码来调用Linphone客户端。

构建一个小巧的来电显示诈骗工具

总结

本文我已经先容了这个项目的配置部分,譬如怎么样配置Asterisk,怎么样设置Asterisk来代替原电话号码,和怎么样使用softphone客户端来与Asterisk服务器进行交互。鄙人一篇文章中,我将深入探讨怎么样创建自定义的扩大设置以及自动化功能,以完成来电显示的动态诈骗。

*参考来源:rapid7, secist 编译,

您可能还会对下面的文章感兴趣: