Finalmente pude conseguir un servidor Asterisk para probar WarVox, la herramienta de wardialing de HD Moore, y como ya lo suponía, esta muy buena!
Al momento de escribir este post, me encontré con "Un vistazo a WarVox", un excelente artículo de SdB, así que no voy a extenderme demasiado en explicaciones.
WarVox ya viene instalado en BackTrack 4 (final!), así que no tuve que hacer mucho. Primero configure el user/pass de acceso a la aplicación en el archivo de configuración, lo ejecute, y accedí a la consola Web:
# Configuro User/Pass para acceder a WarVox /pentest/voip/warbox/etc/warvox.conf # Ejecuto WarVox /pentest/voip/warbox/bin/warvox.rb # Accedo a la aplicación http://127.0.0.1:7777
Una vez dentro de WarVox, lo único que hay que configurar es la cuenta de VOIP, donde vamos proveer dirección IP del servidor, usuario y password:
Luego de esto ya esta listo para funcionar, y la interfaz es muy intuitiva, en la página oficial (www.warvox.org) tienen algunos screenshots de la herramienta funcionando.
Lo mejor de la herramienta es que funciona con VOIP, por el momento solo soporta IAX2, aunque estaría bueno que también soporte SIP en el futuro. Otra feature interesante es la de CallerID Spoofing, es increíble lo que uno se puede divertir con esto :D
Sobre wardialers comerciales, la mejor que probé es Sandstorm's PhoneSweep, realmente muy profesional. Mientras que wardialers gratuitos podemos encontrar muchísimos, aunque me quedo con PhoneTag v1.3 Clockwork, una pequeña aplicación para Windows, que ya es tan vieja que no encuentro ningún link oficial, pero lo que tiene de sencilla también lo tiene de efectiva.
Sin dudas el Wardialing no va a pasar nunca de moda, es increíble la cantidad de dispositivos que la gente conecta a una linea telefónica. Recuerdo haber encontrado routers de core, a los que accedías sin proveer ninguna credencial, importantes dispositivos de back-up, centrales telefónicas, etc.
También tengo varias anécdotas, pero creo la mejor fue una vez que tuvimos que realizar un pentest interno/externo a un organismo del gobierno. Recuerdo que como todo el mundo allí trabajaba hasta las 17hs, a partir de ese horario dejamos corriendo un wardialing hasta el día siguiente, para no molestar a nadie claro.
Lo que no sabíamos era que después de ese horario, gran parte de los teléfonos de todo el organismo, eran derivados a una persona que hacia guardias nocturnas.
A la mañana siguiente escuchamos algunas de las cientos de llamadas realizadas, y en todas ellas, esta persona, estoicamente, atendía diciendo "Ministerio buenas tardes", fue realmente increíble, yo creo que habrá pensado que estaban probando su trabajo porque de otra forma no lo entiendo.
Lo peor de todo fue que esa misma tarde, tuvimos que ir a este organismo a realizar el pentest interno, y casualmente nos ubicaron muy cerca de la gente del call center, y estaba esta persona, toda la tarde a las puteadas.
Creo que si se hubiera enterado, que ese grupillo de geeks eran los responsables del "wardialing", no se que hubiera pasado... :/
Lo mejor de la herramienta es que funciona con VOIP, por el momento solo soporta IAX2, aunque estaría bueno que también soporte SIP en el futuro. Otra feature interesante es la de CallerID Spoofing, es increíble lo que uno se puede divertir con esto :D
Sobre wardialers comerciales, la mejor que probé es Sandstorm's PhoneSweep, realmente muy profesional. Mientras que wardialers gratuitos podemos encontrar muchísimos, aunque me quedo con PhoneTag v1.3 Clockwork, una pequeña aplicación para Windows, que ya es tan vieja que no encuentro ningún link oficial, pero lo que tiene de sencilla también lo tiene de efectiva.
Sin dudas el Wardialing no va a pasar nunca de moda, es increíble la cantidad de dispositivos que la gente conecta a una linea telefónica. Recuerdo haber encontrado routers de core, a los que accedías sin proveer ninguna credencial, importantes dispositivos de back-up, centrales telefónicas, etc.
También tengo varias anécdotas, pero creo la mejor fue una vez que tuvimos que realizar un pentest interno/externo a un organismo del gobierno. Recuerdo que como todo el mundo allí trabajaba hasta las 17hs, a partir de ese horario dejamos corriendo un wardialing hasta el día siguiente, para no molestar a nadie claro.
Lo que no sabíamos era que después de ese horario, gran parte de los teléfonos de todo el organismo, eran derivados a una persona que hacia guardias nocturnas.
A la mañana siguiente escuchamos algunas de las cientos de llamadas realizadas, y en todas ellas, esta persona, estoicamente, atendía diciendo "Ministerio buenas tardes", fue realmente increíble, yo creo que habrá pensado que estaban probando su trabajo porque de otra forma no lo entiendo.
Lo peor de todo fue que esa misma tarde, tuvimos que ir a este organismo a realizar el pentest interno, y casualmente nos ubicaron muy cerca de la gente del call center, y estaba esta persona, toda la tarde a las puteadas.
Creo que si se hubiera enterado, que ese grupillo de geeks eran los responsables del "wardialing", no se que hubiera pasado... :/
2 comentarios:
AHH ME MUERO POBRE TIPO!!!!... y yo te Ahorco con el Cordon del Telefono Leo.. jajajaj me voy a tomar 5 minutos me tomo un te y a probar la verdad es como vos decis el Wardialing no pasa de moda.. se aggiorna :P
Como probamos? Pasanos el dato del servidor asterisk,
Publicar un comentario