关于GOIP设备的勘验和服务器渗透实战

笔者在反诈中心调回来的设备型号:votelmix SWG-2032L，这台设备是相对比较专业的GOIP设备，有小屏幕，WAN口与LAN口，以及CONSOLE口

WAN接口又称为广域网接口，是连接外网（即互联网）使用的专用接口，目前由外网接入的WAN线路包括电话线转网线、光纤线转网线以及入户网线三种

LAN口，用以连接上网设备，比如电脑、交换机等

Console接口是典型的配置接口。使用Console线直接连接至计算机的串口，利用终端仿真程序在本地配置路由器，一般标记有CONSOLE字样

（设备外观）

可以通过左边的按钮控制ssh服务、WEB服务的开启和关闭，以及重置web服务密码，默认重置账号密码:admin/admin，WAN口插入网线可以得到设备IP地址

（SIP终端连接服务器）

通过GOIP设备内残留的服务器信息，使用网络空间搜索引擎FOFA对这个IP进行搜索

（FOFA探索服务器指纹）

由于设备缴获时间距今过长，笔者发现这个服务器的后台WEB服务已经无法访问了，通过图中可知这个IP在2020年12月3日的时候运行着一个title为"VOS WEB防护系统"的WEB服务。再对这个指纹进行搜索

（通过指纹去发现相同模板）

我们发现了一些类似的服务器，在对上面IP为39.103.212.254作为搜索值，我们定位到了一个title为"vos3000"的WEB服务

（VOS3000）

发现这套服务器的源码是来自于南京昆石网络技术有限公司，经过研究发现，VOS3000是昆石网络技术有限公司针对中小等规模 VoIP 运营业务提供的支撑系统，存在运营费率设定、套餐管理，账户管理、业终端管理、网关管理、数据查询、卡类管理、号码管理、系统管理等基本功能，嫌疑人从上级商家处购买的这些GOIP设备其背后会关联着这样一套系统。

（VOS3000web后台）

这与我在最初开始研究电信诈骗产业链中电报群中的聊天记录对上了，在一个专门聊电信诈骗的电报群内，有群成员在群里谈及他被骗中介"黑吃黑"当时记录下了他提及的部分信息

其背后正好也关联上了这个title为"VOS3000"的WEB服务器，通过这些特点，笔者确定了用于电信诈骗的GOIP设备，大部分都是存在后台集中管理的服务器，这让笔者开始研究起从GOIP集中管理服务器对电信诈骗黑灰产产业进行由点切入面，再由面寻点的全面打击

（电报线索中的服务器）

通过对互联网上的VOS3000设备进行数据库弱口令扫描，以及下载vos3000的WEB服务的jar包进行反编译审计源码得知，在VOS3000数据库内可以看到与其相连的GOIP服务器的IP地址，可以通过IP地址初步定位到设备目前处于哪个省份，进行进一步侦查，同时也可以从数据库中得知这些设备在这些设备里面哪些拨打了哪些号码，将诈骗案件的受害者串联起来

2021年某月，反诈中心提供的一条线索中，被捕嫌疑人与其上家进行通联中有提及一台IP为XXX.XXX.XXX.XXX的服务器。

经过研究，我们发现这台服务器上存在struts2漏洞，Apache Struts2 是一个基于MVC设计模式的Web应用框架，会对某些标签属性的属性值进行二次表达式解析，因此在某些场景下将可能导致远程代码执行，本套设备关联的服务器可在某处执行struts2-45漏洞，针对这一特点可批量渗透这套存在于公网上的所有GOIP服务器

这套服务器在架构的时候存在一个预设方法，即用root权限启动了tomcat，导致我们在利用struts2漏洞去攻击服务器时，我们的权限为root

对数据库进行分析发现，在mysql数据库的esps库的sms表内存放着短信记录，在对相关嫌疑人进行抓捕后，数据也停止了更新

（存储短信记录的SMS表）

通过数据库我们可以确定这个服务器里面的短信记录涉及给诈骗号码发的短信，获取用于诈骗的手机卡的imsi号以及iccid号通过对服务器etms库的tbDev表勘验得知这台GOIP服务器的历史连接记录，分析出嫌疑人的其他55条GOIP设备的连接信息，值得注意的是在tbDev表可以看到有关sip服务器的配置信息，使用fofa搜索139.224.235.159发现其8080端口上运行着一个"VOS3000"的WEB服务

（tbDev表关联的SIP服务器）

综上可知，无论是笔者从反诈中心调回来的服务器还是黑灰产交流电报群还是侦办的案件中都涉及到了这个vos3000语音网关系统，印证了服务器是使用GOIP设备进行电信诈骗嫌疑人的一个必须环节，而通过对服务器的勘验，从一台设备，关联出来多台GOIP设备，通过这种数据勘验结合特侦手段拿下嫌疑人服务器可快速确定嫌疑人设备数据量，评估嫌疑人团伙从而确定投入的打击价值。

同时当我们掌握了一种GOIP设备的服务器特征漏洞时，可以对互联网上存在的相同模板进行渗透，批量进攻，远程植马，监控这些服务器上GOIP设备连接的状态和GOIP设备的当前位置，做到精准打击

随着互联网技术的不断发展，嫌疑人的反侦察意识也在逐步增加，从单个号码多次拨号，演变成使用GOIP设备轮换SIM卡进行拨号，笔者通过研究GOIP服务器、GSM网络标准进行研究，发现可以通过先突破GOIP设备服务器，再下发AT指令（AT指令主要是用于控制手机等通讯设备的GSM模块），从而精确定位到GOIP的基站位置，传统的定位方式只能找到设备的IP，这是直接定位GOIP设备的精准位置。

（福建IP：140.24.52.29）

在GOIP集中管理服务器中，可以对GOIP设备进行指令发送，经过大胆尝试，寻求突破，从零开始接触新知识，挖掘出GOIP设备可以通过AT指令获取基站位置，从而精准定位了嫌疑人在福建省漳州市云霄县活动的位置，这个基站物理位置和他福建IP的网络位置相印证。

AT指令：

1.先发AT指令：AT+CREG=2
2.再发AT指令：AT+CREG?，获得返回值：+CREG:2,1,"6060","05E2E83",7

其中6060为LAC，05E2E83为CID

（发送AT指令获取GOIP设备基站位置）

最后通过基站位置查询定位其活动地点为，通过这种方法不主动进攻GOIP服务器进行数据勘验，设备定位，将嫌疑人的设备、受害者所关联的案件串联起来，从而将诈骗案件串联起来。

（查询基站位置）

通过对上述内容的研究，可以大致分析出GOIP设备相关的外网连接服务器，一般GOIP设备会内置一个WEB管理界面，此界面会外联语音网关系统VOS3000或者GOIP集中管理服务器，通过对内置WEB界面的勘验勘验溯源到VOS3000服务器，对此服务器进行分析可以得知此GOIP设备的拨号记录，而对GOIP集中管理服务器进行勘验，可发送AT指令定位相关联GOIP设备的当前连接的基站位置。

通过勘验GOIP设备的后台可以溯源其设备的上层技术维护人员或者是其背后相关的技术支持，对GOIP设备的集中管理服务器进行渗透可以发现其于GOIP设备的位置以及设备内卡的iccid和imsi号，方便下一步案件的侦办和线索发现。

原文始发于微信公众号（刨洞技术交流）：关于GOIP设备的勘验和服务器渗透实战