home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / msrpc_dcom2.nasl

< prev

next >

Wrap

Text File  |  2005-01-14  |  20KB  |  609 lines

---

1. #
2. # (C) Tenable Network Security
3. #
4. # v1.2: use the same requests as MS checktool
5. # v1.16: use one of eEye's request when a null session can't be established
6. #
7. if(description)
8. {
9.  script_id(11835);
10.  script_bugtraq_id(8458, 8460);
11.  script_cve_id("CAN-2003-0715", "CAN-2003-0528", "CAN-2003-0605");
12.  if(defined_func("script_xref"))script_xref(name:"IAVA", value:"2003-A-0012");
13.  
14.  
15.  script_version ("$Revision: 1.36 $");
16.  
17.  name["english"] = "Microsoft RPC Interface Buffer Overrun (KB824146)";
18.  script_name(english:name["english"]);
19.  
20.  desc["english"] = "
21. The remote host is running a version of Windows which has a flaw in 
22. its RPC interface, which may allow an attacker to execute arbitrary code 
23. and gain SYSTEM privileges. 
24.  
25. An attacker or a worm could use it to gain the control of this host.
26.  
27. Note that this is NOT the same bug as the one described in MS03-026 
28. which fixes the flaw exploited by the 'MSBlast' (or LoveSan) worm.
29.  
30. Solution: see http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx 
31. Risk factor : High";
32.  
33.  script_description(english:desc["english"]);
34.  
35.  summary["english"] = "Checks if the remote host has a patched RPC interface (KB824146)";
36.  script_summary(english:summary["english"]);
37.  
38.  script_category(ACT_GATHER_INFO);
39.  
40.  script_copyright(english:"This script is Copyright (C) 2003 Tenable Network Security");
41.  family["english"] = "Gain root remotely";
42.  script_family(english:family["english"]);
43.  script_require_ports("Services/msrpc", 135, 139, 593);
44.  script_dependencies("smb_nativelanman.nasl"); #KK Liu 10/01/2004
45.  exit(0);
46. }
47.  
48. #
49. # The script code starts here
50. #
51.  
52. include("smb_nt.inc");
53. include("misc_func.inc");
54.  
55. function open_wkssvc(soc, uid, tid)
56. {
57.  local_var uid_lo, uid_hi, tid_lo, tid_hi, r;
58.  
59.  uid_lo = uid % 256;
60.  uid_hi = uid / 256;
61.  
62.  tid_lo = tid % 256;
63.  tid_hi = tid / 256;
64.  
65.  
66.  r = raw_string(   0x00, 0x00,
67.             0x00, 0x64, 0xFF, 0x53, 0x4D, 0x42, 0xA2, 0x00,
68.            0x00, 0x00, 0x00, 0x18, 0x07, 0xC8, 0x00, 0x00,
69.            0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
70.            0x00, 0x00, tid_lo, tid_hi, 0x00, 0x28,uid_lo, uid_hi,
71.            0x00, 0x00, 0x18, 0xFF, 0x00, 0xDE, 0xDE, 0x00,
72.            0x0E, 0x00, 0x16, 0x00, 0x00, 0x00, 0x00, 0x00,
73.            0x00, 0x00, 0x9F, 0x01, 0x02, 0x00, 0x00, 0x00,
74.            0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
75.            0x00, 0x00, 0x03, 0x00, 0x00, 0x00, 0x01, 0x00,
76.            0x00, 0x00, 0x40, 0x00, 0x00, 0x00, 0x01, 0x00,
77.            0x00, 0x00, 0x01, 0x11, 0x00, 0x00, 0x5C, 0x00,
78.            0x77, 0x00, 0x6b, 0x00, 0x73, 0x00, 0x73, 0x00,
79.            0x76, 0x00, 0x63, 0x00, 0x00, 0x00);
80.  
81.  send(socket:soc, data:r);
82.  r = smb_recv(socket:soc, length:4096);
83.  
84.  if(strlen(r) < 65)return(NULL);
85.  else
86.   {
87.    fid_lo = ord(r[42]);
88.    fid_hi = ord(r[43]);
89.    return(fid_lo + (fid_hi * 256));
90.   }
91. }
92.  
93. function bind(soc, uid, tid, fid)
94. { 
95.  local_var uid_lo, uid_hi, tid_lo, tid_hi, fid_lo, fid_hi, r;
96.  
97.  uid_lo = uid % 256;
98.  uid_hi = uid / 256;
99.  
100.  tid_lo = tid % 256;
101.  tid_hi = tid / 256;
102.  
103.  fid_lo = fid % 256;
104.  fid_hi = fid / 256;
105.  
106.  r = raw_string(0x00, 0x00,
107.          0x00, 0x9C, 0xFF, 0x53, 0x4D, 0x42, 0x25, 0x00,
108.         0x00, 0x00, 0x00, 0x18, 0x07, 0xC8, 0x00, 0x00,
109.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
110.         0x00, 0x00, tid_lo, tid_hi, 0x00, 0x28, uid_lo, uid_hi,
111.         0x00, 0x00, 0x10, 0x00, 0x00, 0x48, 0x00, 0x00,
112.         0x00, 0x00, 0x04, 0x00, 0x00, 0x00, 0x00, 0x00,
113.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x54, 
114.         0x00, 0x48, 0x00, 0x54, 0x00, 0x02, 0x00, 0x26, 
115.         0x00, fid_lo, fid_hi, 0x59, 0x00, 0x05, 0x5C, 0x00,
116.         0x50, 0x00, 0x49, 0x00, 0x50, 0x00, 0x45, 0x00,
117.         0x5C, 0x00, 0x00, 0x00, 0x00, 0x00, 0x05, 0x00,
118.         0x0B, 0x03, 0x10, 0x00, 0x00, 0x00, 0x48, 0x00,
119.         0x00, 0x00, 0x01, 0x00, 0x00, 0x00, 0xB8, 0x10,
120.         0xB8, 0x10, 0x00, 0x00, 0x00, 0x00, 0x01, 0x00,
121.         0x00, 0x00, 0x00, 0x00, 0x01, 0x00, 0x98, 0xD0,
122.         0xFF, 0x6B, 0x12, 0xA1, 0x10, 0x36, 0x98, 0x33,
123.         0x46, 0xC3, 0xF8, 0x7E, 0x34, 0x5a, 0x01, 0x00,
124.         0x00, 0x00, 0x04, 0x5d, 0x88, 0x8a, 0xeb, 0x1c,
125.         0xc9, 0x11, 0x9f, 0xe8, 0x08, 0x00, 0x2B, 0x10,
126.         0x48, 0x60, 0x02, 0x00, 0x00, 0x00);
127.  
128.  send(socket:soc, data:r);
129.  r = smb_recv(socket:soc, length:4096);
130.  
131.  
132.  return r;
133. }
134.  
135.  
136. function get_wks_info(soc, uid, tid, fid)
137. {
138.   local_var uid_lo, uid_hi, tid_lo, tid_hi, fid_lo, fid_hi, r, name, len;
139.   local_var len_hi, len_lo, uname, i, wks, dce, smb;
140.  
141.  uid_lo = uid % 256;
142.  uid_hi = uid / 256;
143.  
144.  tid_lo = tid % 256;
145.  tid_hi = tid / 256;
146.  
147.  fid_lo = fid % 256;
148.  fid_hi = fid / 256;
149.  
150.  name = "\\" + get_host_ip();
151.  
152.  for(i=0;i<strlen(name);i++)
153.  { 
154.   uname += name[i] + raw_string(0);
155.  }
156.  
157.  uname += raw_string(0, 0);
158.  if((strlen(name) & 1) == 0)uname += raw_string(0, 0);
159.  
160.  len = strlen(name) + 1;
161.  len_hi = len / 256;
162.  len_lo = len % 256;
163.  
164.  
165.  wks = raw_string(0xB0, 0x3D, 
166.            0x7F, 0x00, len_lo, len_hi, 0x00, 0x00, 0x00, 0x00,
167.           0x00, 0x00, len_lo, len_hi, 0x00, 0x00) + uname +
168.     raw_string(0x64, 0x00, 0x00, 0x00);
169.  
170.  
171.     
172.  
173.  len = 24 + strlen(wks);
174.  len_hi = len / 256;
175.  len_lo = len % 256;
176.  
177.  dce = raw_string(0x05, 0x00,
178.             0x00, 0x03, 0x10, 0x00, 0x00, 0x00, len_lo, len_hi,
179.           0x00, 0x00, 0x01, 0x00, 0x00, 0x00, 0x34, 0x00,
180.           0x00, 0x00, 0x00, 0x00, 0x00, 0x00) + wks;
181.           
182.  
183.  
184.   
185.  
186.              
187.   smbpipe2 = raw_string(    0x05, 0x5C, 0x00,
188.               0x50, 0x00, 0x49, 0x00, 0x50, 0x00, 0x45, 0x00, 
189.              0x5C, 0x00, 0x00, 0x00, 0x00, 0x00) + dce;
190.              
191.              
192.   len = strlen(smbpipe2);
193.   len_hi = len / 256;
194.   len_lo = len % 256;
195.           
196.   smbpipe = raw_string(0x26, 0x00, fid_lo, fid_hi, len_lo, len_hi) + smbpipe2;
197.              
198.                                        
199.  
200.  smb = raw_string(          0xFF, 0x53, 0x4D, 0x42, 0x25, 0x00,
201.            0x00, 0x00, 0x00, 0x18, 0x07, 0xc8, 0x00, 0x00,
202.           0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
203.           0x00, 0x00, tid_lo, tid_hi, 0x00, 0x28, uid_lo, uid_hi,
204.           0x00, 0x00, 0x10, 0x00, 0x00, strlen(dce) % 256, strlen(dce) / 256, 0x00,
205.           0x00, 0x00, 0x04, 0x00, 0x00, 0x00, 0x00, 0x00,
206.           0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x54,
207.           0x00, strlen(dce) % 256, strlen(dce) / 256, 0x54, 0x00, 0x02, 0x00) + smbpipe;
208.           
209.  netbios = raw_string(0, 0, strlen(smb) / 256, strlen(smb) % 256) + smb;
210.  send(socket:soc, data:netbios);
211.  r = smb_recv(socket:soc, length:4096);
212.  if(strlen(r) < 120)return NULL;
213.  
214.  len = ord(r[120]) + (ord(r[121]) * 256);
215.  len --;
216.  name = NULL;
217.  
218.  if ( strlen(r) < (124 + len*2) ) return NULL;
219.  
220.  
221.  for(i=124;i<124 + len*2;i+=2)
222.  {
223.   name += r[i];
224.  }
225.  return name;
226. }
227.  
228.  
229. function get_smb_host_name()
230. {
231. local_var r, soc, uid;
232.  
233. if(!get_port_state(139))return NULL;
234. soc = open_sock_tcp(139);
235. if(!soc)return NULL;
236.  
237. r = smb_session_request(soc:soc, remote:"*SMBSERVER");
238. if(!r)return NULL;
239.  
240. prot = smb_neg_prot(soc:soc);
241. if(!prot)return NULL;
242.  
243. r = smb_session_setup(soc:soc, login:"", password:"", domain:"", prot:prot);
244. if(!r)return NULL;
245.  
246. uid = session_extract_uid(reply:r);
247.  
248. r = smb_tconx(soc:soc, name:"*SMBSERVER", uid:uid, share:"IPC$");
249. tid = tconx_extract_tid(reply:r);
250. if(!tid)return NULL;
251.  
252. fid = open_wkssvc(soc:soc, uid:uid, tid:tid);
253.  
254. r = bind(soc:soc, uid:uid, tid:tid, fid:fid);
255.  
256. r = get_wks_info(soc:soc, uid:uid, tid:tid, fid:fid);
257. close(soc);
258. return r;
259. }
260.  
261.  
262.  
263.  
264.  
265. function dcom_recv(socket)
266. {
267.  local_var buf, len;
268.  
269.  buf = recv(socket:socket, length:10);
270.  if(strlen(buf) != 10)return NULL;
271.  
272.  len = ord(buf[8]);
273.  len += ord(buf[9])*256;
274.  buf += recv(socket:socket, length:len - 10);
275.  return buf;
276. }
277.  
278.  
279. #-------------------------------------------------------------#
280.  
281. function check(req)
282. { 
283.  local_var soc, bindstr, error_code, r;
284.  
285.  
286.  soc = open_sock_tcp(port);
287.  if(!soc)raisewarn(text:"check: open_sock");
288.  
289.  bindstr = "05000b03100000004800000001000000d016d016000000000100000000000100a001000000000000c00000000000004600000000045d888aeb1cc9119fe808002b10486002000000";
290.  send(socket:soc, data:hex2raw(s:bindstr));
291.  r = dcom_recv(socket:soc);
292.  if(!r)raisewarn(text:"check: dcom_recv");
293.  
294.  send(socket:soc, data:req);
295.  r = dcom_recv(socket:soc);
296.  if(!r)return NULL;
297.  
298.  close(soc);
299.  error_code = substr(r, strlen(r) - 4, strlen(r) - 1);
300.  
301.  return error_code;
302. }
303.  
304. function check2(req)
305. { 
306.  local_var soc,bindstr, error_code, r;
307.  
308.  
309.  soc = open_sock_tcp(port);
310.  if(!soc)raisewarn(text:"check2: open_sock");
311.  
312.  bindstr = "05000b03100000004800000001000000d016d016000000000100000000000100a001000000000000c00000000000004600000000045d888aeb1cc9119fe808002b10486002000000";
313.  send(socket:soc, data:hex2raw(s:bindstr));
314.  r = dcom_recv(socket:soc);
315.  if(!r)raisewarn(text:"check2: dcom_recv");
316.  
317.  send(socket:soc, data:req);
318.  r = dcom_recv(socket:soc);
319.  close(soc);
320.  if(!r)return NULL;
321.  
322.  
323.  error_code = substr(r, strlen(r) - 8, strlen(r) - 5);
324.  return error_code;
325. }
326.  
327.  
328. function check3(req)
329. {
330.  local_var soc,bindstr, error_code, r;
331.  
332.  
333.  soc = open_sock_tcp(port);
334.  if(!soc)raisewarn(text:"check3: open_sock");
335.  
336.  bindstr = "05000b03100000004800000002000000d016d016000000000100000001000100b84a9f4d1c7dcf11861e0020af6e7c5700000000045d888aeb1cc9119fe808002b10486002000000";
337.  
338.  
339.  
340.  send(socket:soc, data:hex2raw(s:bindstr));
341.  r = dcom_recv(socket:soc);
342.  if(!r)raisewarn(text:"check3: dcom_recv");
343.  
344.  send(socket:soc, data:req);
345.  r = dcom_recv(socket:soc);
346.  close(soc);
347.  if(!r)return NULL;
348.  
349.  
350.  error_code = substr(r, strlen(r) - 24, strlen(r) - 21);
351.  return error_code;
352. }
353.  
354.  
355. function check4(req)
356. {
357.   local_var soc,bindstr, error_code, r;
358.  
359.  
360.  soc = open_sock_tcp(port);
361.  if(!soc)raisewarn(text:"check4: open_sock");
362.  
363.  bindstr = "05000b03100000004800000002000000d016d016000000000100000001000100b84a9f4d1c7dcf11861e0020af6e7c5700000000045d888aeb1cc9119fe808002b10486002000000";
364.  
365.  
366.  
367.  send(socket:soc, data:hex2raw(s:bindstr));
368.  r = dcom_recv(socket:soc);
369.  if(!r)raisewarn(text:"check4: dcom_recv");
370.  
371.  send(socket:soc, data:req);
372.  r = dcom_recv(socket:soc);
373.  if(!r)return NULL;
374.  close(soc);
375.  
376.  
377.  error_code = substr(r, strlen(r) - 24, strlen(r) - 21);
378.  return error_code;
379. }
380.  
381.  
382. function check6(req)
383. {
384.   local_var soc,bindstr, error_code, r;
385.  
386.  
387.  soc = open_sock_tcp(port);
388.  if(!soc)raisewarn(text:"check6: open_sock");
389.  
390.  bindstr = "05000b031000000048000000deadbeefd016d016000000000100000000000100b84a9f4d1c7dcf11861e0020af6e7c5700000000045d888aeb1cc9119fe808002b10486002000000";
391.  
392.  
393.  
394.  
395.  
396.  send(socket:soc, data:hex2raw(s:bindstr));
397.  r = dcom_recv(socket:soc);
398.  if(!r)raisewarn(text:"check6: dcom_recv");
399.  
400.  send(socket:soc, data:req);
401.  r = dcom_recv(socket:soc);
402.  close(soc);
403.  if(!r)return NULL;
404.  
405.  
406.  error_code = substr(r, strlen(r) - 24, strlen(r) - 21);
407.  return error_code;
408. }
409.  
410. function req5()
411. {
412.  local_var name, buf, uname;
413.  
414.  
415.  name = get_smb_host_name();    
416.  if(!name)return NULL;
417.  
418.  name = "\\" + name + "\C$\";
419.  
420.  len = strlen(name) + 1;
421.  
422.  for(i=0;i<strlen(name);i++)
423.  { 
424.   uname += name[i] + raw_string(0);
425.  }
426.  
427.  if((strlen(name) & 1) == 0)  uname += raw_string(0, 0);
428.  
429.  
430.  len_lo = len % 256;
431.  len_hi = len / 256;
432.  
433.  
434.  
435.  buf = raw_string(0x05, 0x00,
436.      0x02, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
437.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
438.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
439.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x95, 0x96,
440.     0x95, 0x2A, 0x8c, 0xDA, 0x6D, 0x4a, 0xb2, 0x36,
441.     0x19, 0xBC, 0xAF, 0x2C, 0x2d, 0xea, 0x30, 0xeb,
442.     0x8F, 0x00, len_lo, len_hi, 0x00, 0x00, 0x00, 0x00,
443.     0x00, 0x00, len_lo, len_hi, 0x00, 0x00) + uname +
444.     raw_string(
445.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x03, 0x00,
446.     0x00, 0x00, 0x02, 0x00, 0x00, 0x00, 0x01, 0x00,
447.     0x00, 0x00, 0xdc, 0xea, 0x8f, 0x00, 0x01, 0x00,
448.     0x00, 0x00, 0x95, 0x96, 0x95, 0x2A, 0x8C, 0xDA,
449.     0x6D, 0x4a, 0xb2, 0x36, 0x19, 0xbc, 0xaf, 0x2c,
450.     0x2d, 0xea, 0x01, 0x00, 0x00, 0x00, 0x01, 0x00,
451.     0x00, 0x00, 0x5C, 0x00);
452.  
453.  len  = strlen(buf);
454.  len_lo = len % 256;
455.  len_hi = len / 256;
456.  tlen = len + 24;
457.  tlen_lo = tlen % 256;
458.  tlen_hi = tlen / 256;
459.  head = raw_string(0x05, 0x00,
460.      0x00, 0x03, 0x10, 0x00, 0x00, 0x00, tlen_lo, tlen_hi,
461.     0x00, 0x00, 0x02, 0x00, 0x00, 0x00, len_lo,len_hi,
462.     0x00, 0x00, 0x01, 0x00, 0x00, 0x00) + buf;
463.  
464.  return head;
465. }
466.  
467. #---------------------------------------------------------------#
468. function raisewarn(text)
469. {
470. # results were indeterminate, stop false MS03-026 detection
471.  data = string("Network problems stopped us from finding out if the host is vulnerable to MS03-039 or not. Diagnostic = ", text);
472.  set_kb_item(name:"SMB/KB824146", value:TRUE); 
473.  security_warning(port:port, data:data);
474.  exit(0);
475. }
476. #---------------------------------------------------------------#
477.  
478.  
479. port = 135;
480. if(!get_port_state(port))port = 593;
481. else {
482.  soc = open_sock_tcp(port);
483.  if(!soc)port = 593;
484.  else close(soc);
485. }
486. if(!get_port_state(port))exit(0);
487.  
488. target = get_host_ip();
489. # Determine if we the remote host is running Win95/98/ME
490. bindwinme = "05000b03100000004800000053535641d016d016000000000100000000000100e6730ce6f988cf119af10020af6e72f402000000045d888aeb1cc9119fe808002b10486002000000";
491. soc = open_sock_tcp(port);
492. if(!soc)exit(0);
493. send(socket:soc, data:hex2raw(s:bindwinme));
494. rwinme = dcom_recv(socket:soc);
495. if(!rwinme)raisewarn(text:"main: dcom_recv");
496. close(soc);
497. lenwinme = strlen(rwinme);
498. stubwinme = substr(rwinme, lenwinme-24, lenwinme-21);
499.  
500. # This is Windows 95/98/ME which is not vulnerable
501. if("02000100" >< hexstr(stubwinme))exit(0);
502.  
503.  
504. #----------------------------------------------------------------#
505.  
506. REGDB_CLASS_NOTREG = "5401048000";
507. CO_E_BADPATH = "0400088000";
508. NT_QUOTE_ERROR_CODE_EQUOTE = "00000000";
509.  
510.  
511.  
512. #
513. req1 = "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";
514.  
515. req2 = "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";
516.  
517.  
518. req3  = "05000e03100000004800000003000000d016d01605af00000100000001000100b84a9f4d1c7dcf11861e0020af6e7c5700000000045d888aeb1cc9119fe808002b10486002000000";
519. req4 = "05000003100000009a00000003000000820000000100000005000200000000000000000000000000000000000000000000000000000000009596952a8cda6d4ab23619bcaf2c2dea34eb8f000700000000000000070000005c005c004d0045004f00570000000000000000005c0048005c0048000100000058e98f00010000009596952a8cda6d4ab23619bcaf2c2dea01000000010000005c00";
520.  
521.  
522.  
523.  
524.  
525. #display(hex2raw(s:req));
526. #exit(0);
527.  
528.  
529.  
530.  
531.  
532.  
533. error1 = check(req:hex2raw(s:req1));
534. error2 = check(req:hex2raw(s:req2)); 
535.  
536.  
537. error3 = check(req:hex2raw(s:req3));
538. error4 = check2(req:hex2raw(s:req4));
539. error5 = NULL;
540. null_session_failed = 0;
541.  
542. if(hexstr(error1) == "00000000")
543.  {
544.   req = req5();
545.   if(req)
546.       error5 = check4(req:req);
547.   else null_session_failed = 1;    
548.  }
549.  
550. #display(target, " error1=", hexstr(error1), "\n");
551. #display(target, " error2=", hexstr(error2), "\n");
552. #display(target, " error3=", hexstr(error3), "\n");
553. #display(target, " error4=", hexstr(error4), "\n");
554. #display(target, " error5=", hexstr(error5), "\n");
555.  
556.  
557. #KK 10/01/2004 - check if os = Windows NT 4.0 reset error4
558.     kb = get_kb_item("Host/OS/smb");
559.     if ( kb ) 
560.     {
561.        if ("Windows 4.0" >< kb  ) { error4 = ""; }
562.     }
563. #KK 
564.  
565. if(hexstr(error1) == "00000000" &&
566.    hexstr(error2) == "00000000" &&
567.    (hexstr(error4) == "1c00001c" || hexstr(error4) == "0300011c") &&
568.    isnull(error5)){
569.      set_kb_item(name:"SMB/KB824146", value:TRUE);
570.     exit(0); # HP-UX dced or WinXP SP2
571.     }
572.  
573.  
574. #error5 = NULL;
575. #null_session_failed = 1;
576.  
577.  
578. if(hexstr(error2) == hexstr(error1))
579. {
580.  vulnerable = 1;
581.  if(hexstr(error1) == "05000780")exit(0); # DCOM disabled
582.  if(hexstr(error1) == "00000000")
583.  {
584.   if( hexstr(error5) == "04000880" )vulnerable = 0;
585.   else if( null_session_failed || hexstr(error5) == "05000780") { 
586.    req6 = "0500000310000000c600000000000000ae000000000000000500010000000000000000005b4e65737375735d5b4e65737375735d000000004e4e4e4e4e4e4e4e4e4e4e4e4e4e4e4e680f0b001e000000000000001e0000005c005c00410000005c000000630024005c0074006500730074005f0032003000300033005f006e00650073007300750073002e00740078007400000000000000020000000200000001000000b8eb0b00010000000000000000000000000000000000000001000000010000000700";
587.    error6 = check6(req:hex2raw(s:req6));
588.    req7 = "0500000310000000c600000000000000ae000000000000000500010000000000000000005b4e65737375735d5b4e65737375735d0000000048484848484848484848484848484848680f0b001e000000000000001e0000005c005c003100370032002e00340032002e003100340032002e0031003400320000005c0074006500730074005f004e0065007300730075007300000000000000020000000200000001000000b8eb0b00010000000000000000000000000000000000000001000000010000000700";
589.    error7 = check6(req:hex2raw(s:req7));
590.    if(hexstr(error6) == "54010480" && hexstr(error7) == "04000880")vulnerable = 0;
591.    #display(target, " error6=", hexstr(error6), "\n");
592.    #display(target, " error7=", hexstr(error7), "\n");
593.    if(hexstr(error6) == hexstr(error7) &&
594.       hexstr(error6) == "05000780")exit(0); # Dcom disabled
595.    
596.   }
597.  }
598. }
599.   
600.  
601. if(vulnerable)
602. {
603.  security_hole(port);
604. }
605. else {
606.  set_kb_item(name:"SMB/KB824146", value:TRUE);
607. }
608.  
609.