[FYI]

小弟其實也很好奇, 到底是哪些網友在觀看這篇討論, SIPURA SPA 在國外或許很紅, 但是國內很難以便宜的價格取得, 兩年前還有不少網友在賣帶門號的SPA-1000, 現在幾乎已經絕跡了, 既然大家都沒有東西可以實驗, 小弟也只能盡量蒐集其他有用的訊息提供給大家, 免得您看著看著就睡著了

引用:

作者: FYI

SPA-2000 的軔体就沒有漏洞嗎? 功能愈強漏洞愈多, 誰會想到漏洞之一就在SIPURA FAQ 之中?

小弟可不想弄得像cheerx 兄所提的那篇長到讓人讀不下去的討論, 不斷有新手持續詢問如何破解(還好您手上大概也沒有這台機器), 反而模糊了焦點, 不過小弟還是忍不住去喵了一下, 看到底他們在討論什麼, 結果在第六頁, rcilink 點出了小弟的作法, 既然這個方法早晚會失效, 小弟不如提出來供大家參考, 這個方法其實是在voip-info.org 看到的

Sipura Mass Deployment

原本是針對SIPURA SPA-841 (IP Phone), SPA-841 FAQ 解釋的很詳細, 小弟雖然很早就看過SPA-841 FAQ, 但是也沒想到能拿來破解SPA-2000, 直到看到voip-info 的文章, 事實上小弟原本也沒有這個需求, 因為只要執行Factory Reset(各ITSP 做法不同), 要怎麼改就怎麼改, 然而完美的破解SPA-2000, 應該是Line1 保持ITSP 的設定, Line2 自由選擇(例如FWD), 這樣才能保有最大的彈性, 但是沒有admin 密碼, 一切都白談, 其次, 就算方法知道了, 還得加上適合的工具以及相關知識, 所以在進入主題之前, 先簡單介紹一下SPA-2000/PAP2 的Provisioning, 如果SPA-2000 是被ITSP 所控制(Provisioning Enable: Yes), 那麼大致開機程序如下:

1. 檢查Resync On Reset
2. If Yes, 執行Profile Rule, 假設是tftp://ls.tftp.vonage.net:$P/$D/spa$MA.xml ($MA 自動轉成MAC address)
3. 如果Profile Rule 不同於目前, 則重複步驟2
4. 每隔Resync Periodic (秒), 重複步驟2, 假設是604800, 也就是每隔7 天Resync 一次
5. 檢查Upgrade Enable
6. If Yes, 執行Upgrade Rule, 假設是(<2.0.10)?http://httpconfig.vonage.net/PAP2-bin-03-01-06-LS.bin, 當韌體版本小於2.0.10 時, 下載PAP2-bin-03-01-06-LS.bin
7. 如果韌體更新而且Resync After Upgrade Attempt: Yes, 則重複步驟2

Profile Resync(再同步)是其中的核心, 除了定期將組態同步之外, 也可以強迫同步(Resync From SIP: Yes), 由於以上的組態是Admin 的權限, 各家的設定皆不同, 要破解就必須藉由Ethereal/Packetyzer 找出Profile Rule (將來這個步驟如果改用SSL 加密, 那就無解了), 假設內容如步驟2, 接下來以WinXP 示範破解步驟如下:

1. 安裝免費的Free TFTP Server 或Abyss Web Sever 和Packetyzer
2. 編輯spaxxxxxxxxxxxx.xml ("xxxxxxxxxxxx" 以MAC address 取代), 內容如下:

<?xml version="1.0" encoding="ISO-8859-1"?>
<flat-profile>
<!-- Optional Network Configuration -->
<Enable_Web_Server ua="rw"> Yes </Enable_Web_Server>
<Web_Server_Port ua="rw"> 80 </Web_Server_Port>
<Enable_Web_Admin_Access ua="rw"> Yes </Enable_Web_Admin_Access>
<Admin_Passwd ua="rw"> 1234 </Admin_Passwd>
</flat-profile>

3. 將spaxxxxxxxxxxxx.xml 存放於Free TFTP Server 的Root directory
4. 修改C:\WINDOWS\system32\drivers\etc\hosts, 加入一行:

ls.tftp.vonage.net 192.168.0.1

5. 啟動SPA-2000/PAP2 的DHCP Client, 清除DNS 設定, 點選Submit All Changes, 關機
6. 安裝WinXP ICS, 關閉區網內的DHCP, 或是直接把SPA-2000/PAP2 以Crossover Cable 連接PC
7. 執行Packetyzer 監看(非必要), 執行TFTP Server, SPA-2000/PAP2 開機, 等候一分鐘
8. 拿起話筒按****, 110#, 抄下IP
9. 瀏覽器輸入IP, 登入admin, 密碼1234, 進入Provisioning, 關閉Provision Enable & Resync On Reset & Resync From SIP & Resync After Upgrade Attempt, 點選Submit All Changes

小弟並無PAP2, 所以不確定PAP2 是否會鎖住DNS, 如果會的話, 而且參照網域名稱(例如ns4.vonage.net)的話, 就可以用ICS+hosts 解決, 如果不使用ICS, 則架設一個DNS Server 也可以騙得過去, 如果直接參照DNS IP(216.115.24.230/216.115.31.140), 而且無法修改(ua="na"), 那麼手續會複雜一點, 你可以安裝Microsoft Loopback Adapater, 或借用ADSL 撥號上網或安裝第二片網卡, 以上都可以直接指定IP(假冒DNS), 也可以運用一片網卡兩個IP, Enable Internal Route, 方法小弟曾在Win9x 試過可行, 這裡只是簡單提個概念, 詳細步驟可在精華區找的到

以上原理在於讓PC 假冒成SPA-2000/PAP2 會參考到的主機, 從而下載修改過的Profile (據Phoneboy, 原始cfg 有經過RC4 & AES 加密), 這個破解方法恐怕也只能維持一小段時間, 因為反制的方法很多, 就看SIPURA/Linksys 要把時間花在加強PPPoE/T.38 之上, 還是疲於應付ITSP 防破解的需求, 就算不修改韌體, ITSP 只要修改Proxy Server 也是可以防止破解, 這只是做與不做的問題, 就小弟的觀察, 以Linksys 提供給Vonage 的韌體甚至連Factory Reset 都鎖的死死的, 那些已經破解Vonage 的用戶, 將來不太可能再腳踏兩條船, 而SIPURA 可能不會很在乎這種雕蟲小技, 畢竟那也不是什麼迫在眉梢的問題, 不過這倒也引發另一個問題, Proxy Server 可以向UA(ATA) 要求認証, 那麼反過來說, UA 如何辨別Proxy Server 的真偽呢?

補充:
其實要架設免費的DNS+HTTP, 則大家一定會想到Linux, Windows 之下的免費DNS 只有JanaServer, TreeWalk DNS 和Windows ICS

JanaServer 的DNS 部份只是DNS Forwarder, 而TreeWalk 則是完整的DNS, 如果只是暫時需要一個DNS Forwarder 的話, WinXP 內建ICS 應該是最簡便的了, 而且ICS 會優先查詢本機的hosts, 其次才Forward DNS Query, 善用此特性可以便於進行一些特殊的實驗