home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / ftpglob.nasl

< prev

next >

Wrap

Text File  |  2005-03-31  |  6KB  |  244 lines

---

1. #
2. # This script is copyright ⌐ 2001 by EMAZE Networks S.p.A. 
3. # under the General Public License (GPL). All Rights Reserved.
4. # 
5. # changes by rd: added risk factor & fix
6.  
7. bracket = raw_string(0x7B);
8.  
9. if (description)
10. {
11.      script_id(10821);
12.      script_bugtraq_id(2550, 3581);
13.     script_cve_id("CAN-2001-0249", "CVE-2001-0550");
14.       script_version("$Revision: 1.21 $");
15.      name["english"] = "FTPD glob Heap Corruption";
16.     script_name(english: name["english"]);
17.  
18.      desc["english"] = "
19. The FTPD glob vulnerability manifests itself in handling of the glob command. 
20. The problem is not a typical buffer overflow or format string vulnerability, 
21. but a combination of two bugs: an implementation of the glob command that does not
22.  properly return an error condition when interpreting the string ~" + bracket + ",
23. and then frees memory which may contain user supplied data. This 
24. vulnerability is potentially exploitable by any user who is able to log in to 
25. a vulnerable server, including users with anonymous access. If successful, an 
26. attacker may be able to execute arbitrary code with the privileges of FTPD, 
27. typically root.
28.  
29. Solution : Contact your vendor for a fix
30. Risk factor : High";
31.  
32.      script_description(english: desc["english"]);
33.      script_summary(english: "Check if the remote FTPD s vulnerable to a glob heap corruption vulnerability");
34.  
35.      script_category(ACT_MIXED_ATTACK); 
36.      script_family(english: "FTP");
37.  
38.      script_copyright(english: "Copyright (C) 2001 E*Maze");
39.  
40.      script_dependencie("find_service.nes", "ftp_anonymous.nasl", "os_fingerprint.nasl");
41.      script_require_ports("Services/ftp", 21);
42.  
43.      exit(0);
44. }
45.  
46.  
47. #
48. # Script code starts here 
49. #
50.  
51. include("ftp_func.inc");
52.  
53. port = get_kb_item("Services/ftp");
54. if (!port)
55.     port = 21;
56.  
57. if (!get_port_state(port))
58.     exit(0);
59.  
60.  
61.  
62. login = get_kb_item("ftp/login");
63. password = get_kb_item("ftp/password");
64.  
65. if(safe_checks())login = 0;
66.  
67.  
68. if (login)
69. {
70.     soc = open_sock_tcp(port);
71.     if (!soc)
72.         exit(0);
73.  
74.     if (ftp_log_in(socket:soc, user:login, pass:password))
75.     {
76.          c = string("CWD ~", bracket, "\r\n");
77.              d = string("CWD ~*", bracket, "\r\n");
78.             
79.         send(socket:soc, data:c);
80.              b = ftp_recv_line(socket:soc);
81.  
82.          send(socket:soc, data:d);
83.         e = ftp_recv_line(socket:soc);
84.  
85.         #
86.         # Buggy version. no known exploits
87.         #
88.         
89.         buggy = string(
90.         "You seem to be running an FTP server which is vulnerable to the 'glob heap corruption'\n",
91.         "flaw, but which can not be exploited on this server.\n",
92.         "Solution: Upgrade your ftp server software to the latest version.\n",
93.         "Risk factor : Medium\n");
94.  
95.         
96.  
97.         #
98.         # Vulnerable version. Working exploit has been written
99.         #
100.         vuln = string(
101.         "You seem to be running an FTP server which is vulnerable to the 'glob heap corruption'\n",
102.         "flaw, which is known to be exploitable remotely against this server. An attacker may use \n",
103.         "this flaw to execute arbitrary commands on this host.\n\n",
104.         "Solution: Upgrade your ftp server software to the latest version.\n",
105.         "Risk factor : High\n");
106.  
107.             
108.         #
109.         # Check if the connetcion is lost
110.         # if it is, the daemon is vulnerable
111.         # linux/bsd: wuftpd, beroftpd
112.         # solaris ftpd
113.         #
114.  
115.         if ((!b) || (!e))
116.         {
117.             security_hole(port:port, data:vuln); 
118.             exit(0);
119.         }
120.  
121.         #
122.         # Freebsd / Openbsd command successfull. 
123.         # buggy version
124.         #
125.         if ((b >< "250 CWD command successful") ||
126.             (e >< "250 CWD command successful"))
127.         {
128.                security_hole(port:port, data:buggy); 
129.             exit(0);
130.         }
131.                 
132.         #    
133.         # Netbsd vulnerable
134.         #
135.         if((b >< ":") || (e >< ":"))
136.         {
137.             security_hole(port:port, data:vuln);
138.             exit(0);
139.         }
140.  
141.         #
142.         # Aix buggy
143.         #
144.         if ((b >< "550 Unknown user name after ~") ||
145.             (e >< "550 Unknown user name after ~"))
146.         {
147.             security_hole(port:port, data:buggy);
148.             exit(0);
149.         }
150.  
151.         #
152.         # MacOS X Darwin buggy
153.         #
154.         if ((b >< "550 ~: No such file or directory") ||
155.             (e >< "550 ~: No such file or directory"))
156.         {
157.                security_hole(port:port, data:buggy);
158.             exit(0);
159.         }
160.  
161.         #
162.         # The non vulnerable version
163.         #
164.              ftp_close(socket:soc);
165.  
166.         exit(0);
167.     }
168.  
169.     ftp_close(socket: soc);
170. }
171.  
172.  
173.  
174.  
175. os = get_kb_item("Host/OS/icmp");
176. if(os)
177. {
178.  if(egrep(pattern:".*FreeBSD (4\.[5-9]|5\..*).*", string:os))exit(0);
179. }
180.  
181.  
182.  
183.  
184. #          
185. # We weren't able to login into the ftp server.
186. # check the banner instead
187. #
188. banner = get_ftp_banner(port: port);
189.  
190. if (!banner)
191.     exit(0);
192.  
193. #
194. # FTP server 4.1 (aix/ultrix), 1.1. (hp-ux), 6.00 (darwin), 6.00LS (freebsd)
195. #
196.  
197. # wu-ftpd 2.6.1-20 is not vulnerable
198. if(egrep(pattern:".*wu-2\.6\.1-[2-9][0-9].*", string:banner))exit(0);
199.  
200.  
201. if ( "PHNE_27765" >< banner ||
202.      "PHNE_29461" >< banner ||
203.      "PHNE_30432" >< banner ||
204.      "PHNE_31931" >< banner ||
205.      "PHNE_30990" >< banner ) exit(0);
206.  
207. if (
208.     egrep(pattern: 
209.         ".*wu-([0-1]|(2\.([0-5][^0-9]|6\.[0-1]))).*", 
210.     string:banner) ||
211.     egrep(pattern: 
212.         ".*BeroFTPD.*", 
213.     string:banner) ||
214.     egrep(pattern: 
215.         ".*NetBSD-ftpd (199[0-9]|200[0-1]).*", 
216.     string:banner) ||
217.     egrep(pattern: 
218.         ".*Digital UNIX Version [0-5]\..*", 
219.     string:banner) ||
220.     egrep(pattern: 
221.         ".*SunOS [0-5]\.[0-8].*", 
222.     string:banner) ||
223.     egrep(pattern: 
224.         ".*FTP server.*Version (1\.[0-1]\.|4\.1|6\.00|6\.00LS).*",
225.     string:banner)    ||
226.     egrep(pattern:
227.         ".*FTP server .SRPftp 1\.[0-3].*", 
228.           string:banner)) 
229.     {
230.     banvuln = string(
231.         "You seem to be running an FTP server which is vulnerable to the\n",
232.         "'glob heap corruption' flaw.\n",
233.         "An attacker may use this problem to execute arbitrary commands on this host.\n\n",
234.         "*** Nessus relied solely on the banner of the server to issue this warning,\n",
235.         "*** so this alert might be a false positive\n",
236.         "*** NOTE: must have a valid username/password to fully check this vulnerability\n\n",
237.         "Solution : Upgrade your ftp server software to the latest version.\n",
238.         "Risk factor : High\n");
239.  
240.     security_hole(port:port, data:banvuln); 
241.     exit(0);
242. }
243.  
244.