# Acoustic Lab
*Phòng thí nghiệm này sẽ đưa bạn vào thế giới liên lạc bằng giọng nói trên internet. VoIP đang trở thành tiêu chuẩn thực tế cho giao tiếp bằng giọng nói. Khi công nghệ này trở nên phổ biến hơn, các bên độc hại có nhiều cơ hội hơn và động cơ mạnh mẽ hơn để kiểm soát các hệ thống này để tiến hành các hoạt động bất chính. Thử thách này được thiết kế để kiểm tra và khám phá một số thuộc tính của giao thức SIP và RTP.*
## 1. What is the transport protocol being used?
Ta thấy có 2 giao thức là rtp và stp
Aws : **UDP**
## 2. The attacker used a bunch of scanning tools that belong to the same suite. Provide the name of the suite.
mở file log ktra
Dựa trên thông tin trong đoạn mã SIP mà bạn cung cấp, đặc biệt là dòng User-Agent: friendly-scanner, đây là một dấu hiệu rõ ràng của bộ công cụ SIPVicious. SIPVicious là một bộ sưu tập các công cụ được sử dụng để kiểm tra và quét các hệ thống VoIP dựa trên SIP. Nó bao gồm nhiều công cụ như svmap, svwar, svcrack, svreport, và svcrash, được thiết kế để phát hiện thiết bị SIP, liệt kê extension, và thậm chí bẻ khóa mật khẩu.
Vì vậy, tên của bộ công cụ mà kẻ tấn công đã sử dụng là **SIPVicious**.
Aws : **sipvicious**
## 3. What is the User-Agent of the victim system?
Kiểm tra các gói SIP , (right click > follow > udp stream)
```
SIP/2.0 200 OK
Via: SIP/2.0/UDP 172.25.105.3:43204;branch=z9hG4bK-d8754z-db4ecad75637aa03-1---d8754z-;received=172.25.105.3;rport=43204
From: <sip:555@172.25.105.40>;tag=5fecebaf
To: <sip:555@172.25.105.40>;tag=as07167362
Call-ID: MzEwMmYyYWRiYTUxYTBhODY3ZjFkZDA2YmU2ZTk2NGI.
CSeq: 2 REGISTER
User-Agent: Asterisk PBX 1.6.0.10-FONCORE-r40
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY
Supported: replaces, timer
Expires: 3600
Contact: <sip:555@172.25.105.3:43204;rinstance=b0f006e0ba2c80bf>;expires=3600
Date: Sat, 01 May 2010 18:16:06 GMT
Content-Length: 0
```
AWS : **Asterisk PBX 1.6.0.10-FONCORE-r40**
## 4 .Which tool was only used against the following extensions: 100,101,102,103, and 111?
SipVicious là một bộ công cụ kiểm tra bảo mật VoIP (Voice over IP), đặc biệt là đối với giao thức SIP (Session Initiation Protocol). Bộ công cụ này thường được sử dụng để kiểm tra tính bảo mật của các hệ thống VoIP, phát hiện lỗ hổng, và thực hiện các cuộc tấn công thử nghiệm.
SipVicious bao gồm các công cụ chính sau:
svmap - Quét mạng để tìm các thiết bị SIP đang hoạt động.
svwar - Xác định tài khoản SIP hợp lệ bằng cách thử nghiệm tên người dùng.
svcrack - Tấn công brute-force để tìm mật khẩu SIP.
svreport - Quản lý và xuất báo cáo kết quả từ các công cụ trên.
svcrash - Công cụ tấn công thử nghiệm để gây lỗi hoặc làm sập dịch vụ SIP.
AWS : **svcrack.py**
## 5 Which extension on the honeypot does NOT require authentication?
dò 1 hồi chỉ có 101,102,103,111 được xác thực riêng 100 thì chưa
AWS : **100**
## 6 How many extensions were scanned in total?
ta viết script để giải
```
with open("log.txt", "r") as file:
with open("extension.txt", "a") as to_write:
lines = file.readlines()
line = ""
for line in lines:
if "REGISTER sip:" in line:
print(line,end="")
to_write.write(line)
```
AWS : **2652**
## 7 There is a trace for a real SIP client. What is the corresponding user-agent? (two words, once space in between)
tìm tất cả user
`grep -EI 'User-Agent:' log.txt |uniq`
AWS : **Zoiper rev.6751**
## 8 Multiple real-world phone numbers were dialed. What was the most recent 11-digit number dialed from extension 101?
`grep -Ei 'From: "Unknown"<sip:101' log.txt -B8|grep INVITE`
nhờ chat gpt dùng tool kiếm hộ "INVITE"
aws : **00112524021**
## 9 What are the default credentials used in the attempted basic authentication? (format is username:password)
=>HTTP
aws : maint:password
## 10 Which codec does the RTP stream use? (3 words, 2 spaces in betweeb
fillter : rtp
**ITU-T G.711 PCM**
## 11 How long is the sampling time (in milliseconds)?
AWS : **0.125**
## 12 What was the password for the account with username 555?
fillter >tcp contains "555" > 200 ok > find :"username"
aws : **1234**
## 13 Which RTP packet header field can be used to reorder out of sync RTP packets in the correct sequence?
**timestamp**
## 14 The trace includes a secret hidden message. Can you hear it?
Telephony > rtp >rtp player
aws : mexico
# EscapeRoom Lab
## What service did the attacker use to gain access to the system?
filter : ssh
thấy trùng lặp rất nhiều =>
**Bruteforce**
## What was the tool the attacker possibly used to perform this attack?
**Hydra**
## How many failed attempts were there?
**52**
## What credentials (username:password) were used to gain access? Refer to shadow.log and sudoers.log.
`john --wordlist=rockyou.txt shadow.log`
**manager:forgot**
## What other credentials (username:password) could have been used to gain access also have SUDO privileges? Refer to shadow.log and sudoers.log.
**sean:spectre**
## What is the tool used to download malicious files on the system?
filter -> http
**Wget**
## What is the main malware MD5 hash?
nên mở bằng máy ảo không dính virus
**772b620736b760c1d736b1e6ba2f885b**
## What file has the script modified so the malware will start upon reboot?
**/etc/rc.local**
## Where did the malware keep local files?
**/var/mail**
## What is missing from ps.log?
/var/mail/mail
## What is the main file that used to remove this information from ps.log?
**sysmod.ko**
## Inside the Main function, what is the function that causes requests to those servers?
**requestFile**
## One of the IP's the malware contacted starts with 17. Provide the full IP.
**174.129.57.253**
## How many files the malware requested from external servers?
**9**
## What are the commands that the malware was receiving from attacker servers? Format: comma-separated in alphabetical order
**NOP,RUN**
# BlueSky Ransomware Lab
Sign in with Wallet
Connect another wallet