home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / netinfo_rpc.nasl

< prev

next >

Wrap

Text File  |  2005-01-14  |  5KB  |  195 lines

---

1. #
2. # This script is (C) Tenable Network Security
3. #
4.  
5. if(description)
6. {
7.  script_id(11899);
8.  script_version("$Revision: 1.3 $");
9.  
10.  name["english"] = "nibindd is running";
11.  
12.  script_name(english:name["english"]);
13.  
14.  desc["english"] = "
15. This script determines of the nibindd rpc service is running,
16. in which case it connects to it to extract the list of NetInfo
17. domains the remote host is serving
18.  
19. Solution : Filter incoming traffic to this port
20. Risk factor : Medium";
21.  
22.  
23.  script_description(english:desc["english"]);
24.  
25.  summary["english"] = "Connects to the remote nibindd RPC service";
26.  
27.  script_summary(english:summary["english"]);
28.  
29.  script_category(ACT_GATHER_INFO);
30.  
31.  script_copyright(english:"This script is Copyright (C) 2003 Tenable Network Security");
32.  family["english"] = "RPC";
33.  script_family(english:family["english"]);
34.  script_dependencies("rpc_portmap.nasl");
35.  exit(0);
36. }
37.  
38. function get_rpc_port(protocol)
39. { 
40.  local_var    broken, req, soc, r, port;
41.  local_var    a, b, c, d, p_a, p_b, p_c, p_d, pt_a, pt_b, pt_c, pt_d;
42.  
43.  
44.  
45.  a = rand() % 255;
46.  b = rand() % 255;
47.  c = rand() % 255;
48.  d = rand() % 255;
49.  
50.  p_a = program / 16777216;     p_a = p_a % 256;
51.  p_b = program / 65356;     p_b = p_b % 256;
52.  p_c = program / 256;       p_c = p_c % 256;
53.  p_d = program % 256;
54.  
55.  pt_a = protocol / 16777216; pt_a = pt_a % 256;
56.  pt_b = protocol / 65535   ; pt_b = pt_b % 256;
57.  pt_c = protocol / 256;    ; pt_c = pt_c % 256;
58.  pt_d = protocol % 256;
59.  
60.  
61.  req = raw_string(a,     b,     c,     d,     # XID
62.            0x00, 0x00, 0x00, 0x00,    # Msg type: call
63.           0x00, 0x00, 0x00, 0x02,    # RPC Version
64.           0x00, 0x01, 0x86, 0xA0,    # Program
65.           0x00, 0x00, 0x00, 0x02,    # Program version
66.           0x00, 0x00, 0x00, 0x03,    # Procedure
67.           0x00, 0x00, 0x00, 0x00,    # Credentials - flavor
68.           0x00, 0x00, 0x00, 0x00,     # Credentials - length
69.           0x00, 0x00, 0x00, 0x00,    # Verifier - Flavor
70.           0x00, 0x00, 0x00, 0x00,    # Verifier - Length
71.           
72.           0x0b, 0xed, 0x48, 0xa1,    # Program
73.           0xFF, 0xFF, 0xFF, 0xFF,    # Version (any)
74.           pt_a, pt_b, pt_c, pt_d,    # Proto (udp)
75.           0x00, 0x00, 0x00, 0x00    # Port
76.            );
77.     
78.       
79.   port = int(get_kb_item("rpc/portmap"));
80.   if(port == 0)port = 111;
81.        
82.       
83.  broken = get_kb_item(string("/tmp/rpc/noportmap/", port));
84.  if(broken)return(0);
85.  
86.        
87.  soc = open_sock_udp(port);
88.  send(socket:soc, data:req);
89.  r = recv(socket:soc, length:1024);
90.  
91.  close(soc);
92.  if(!r)
93.  {
94.   set_kb_item(name:string("/tmp/rpc/noportmap/", port), value:TRUE);
95.   return(0);
96.  }
97.  
98.  if(strlen(r) < 28)
99.   return(0);
100.  else
101.   {
102.    p_d = ord(r[27]);
103.    p_c = ord(r[26]);
104.    p_b = ord(r[25]);
105.    p_a = ord(r[24]);
106.    port = p_a;
107.    port = port * 256;
108.    port = port +p_b; 
109.    port = port * 256;
110.    port = port + p_c; 
111.    port = port * 256;
112.    port = port + p_d;
113.    return(port);
114.   }
115. }
116.  
117.  
118.  
119.  
120.  
121. function netinfo_recv(socket)
122. {
123.  local_var buf, len;
124.  
125.  buf = recv(socket:soc, length:4);
126.  if(strlen(buf) < 4)return NULL;
127.  
128.  len = ord(buf[3]) + ord(buf[2])*256;
129.  
130.  buf += recv(socket:soc, length:len);
131.  return buf;
132. }
133.  
134.  
135.  
136.  
137. rpcport = get_rpc_port(protocol:IPPROTO_TCP);
138. if ( !rpcport ) exit(0);
139. if ( !get_port_state(rpcport)) exit(0);
140.  
141. soc = open_sock_tcp(rpcport);
142. if ( ! soc ) exit(0);
143.  
144. req = raw_string(0x80, 0x00, 0x00, 0x28, 0x11, 0xe0, 0x40, 0x95,
145.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02,
146.          0x0b, 0xed, 0x48, 0xa1, 0x00, 0x00, 0x00, 0x01,
147.          0x00, 0x00, 0x00, 0x04, 0x00, 0x00, 0x00, 0x00,
148.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
149.          0x00, 0x00, 0x00, 0x00);
150.  
151. send(socket:soc, data:req);
152. r = netinfo_recv(socket:soc);
153. close(soc);
154. if(strlen(r) < 35)exit(0);
155.  
156. num_domains = ord(r[35]);
157. start = 38;
158.  
159. report = "";
160. for ( i = 0 ; i < num_domains ; i ++ )
161. {
162.  len = ord(r[start]) * 256 + ord(r[start+1]);
163.  start += 2;
164.  report += '\n . ' + substr(r, start, start + len - 1);
165.  start += len;
166.  if(len % 4)start += 4 - (len % 4);
167.  start += 2;
168.  udp = ord(r[start]) * 256 + ord(r[start+1]);
169.  start += 4;
170.  tcp = ord(r[start]) * 256 + ord(r[start+1]);
171.  report += ' (serving on tcp port ' + tcp + ' and udp port ' + udp + ')';
172.  start += 4;
173. }
174.  
175.  
176. if ( strlen(report) )
177. { 
178.  report = "
179. The remote host is running the nibindd RPC service, which implies that it
180. is a NetInfo server (so it is probably running MacOS X or NeXT). It serves
181. the following list of domains : 
182. " + report +
183. "
184.  
185. An attacker might use this information to gather the relevant
186. maps from the remote system, like the password file or the configuration
187. of the domain.
188.  
189. Solution : filter incoming traffic to this port. If the remote host is not a
190. NetInfo server, kill the 'nibindd' service.
191. Risk factor : Medium";
192.  
193.  security_warning(port:rpcport, data:report);
194. }
195.