home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / rip_poison.nasl < prev    next >
Text File  |  2005-03-31  |  4KB  |  151 lines
  1. # This plugin was written from scratch by Michel Arboi <arboi@alussinan.org>
  2. # with help from Pavel Kankovsky.
  3. #
  4. # It is released under the GNU Public Licence (GPLv2)
  5. #
  6. # References:
  7. # RFC 1058    Routing Information Protocol
  8. # RFC 2453    RIP Version 2
  9. #
  10. # Notes:
  11. # routed from OpenBSD or Linux rejects routes that are not sent by a neighbour
  13.  
  14. if(description)
  15. {
  16.   script_id(11829);
  17.   script_version ("$Revision: 1.9 $");
  18.  
  19.   name["english"] = "RIP poisoning";
  20.   script_name(english:name["english"]);
  21.  
  22.   desc["english"] = "
  23. It was possible to poison the remote host routing tables through
  24. the RIP protocol.
  25. An attacker may use this to hijack network connections.
  26.  
  27. Solution : use RIP-2 and implement authentication, 
  28.     or use another routing protocol,
  29.     or disable the RIP listener if you don't need it.
  30.  
  31. Risk factor : Low";
  32.  
  33.   script_description(english:desc["english"]);
  34.  
  35.   summary["english"] = "Poison routing tables through RIP";
  36.   script_summary(english:summary["english"]);
  37. # This plugin is not supposed to be dabgerous but it was released as 
  38. # ACT_DESTRUCTIVE_ATTACK because we could not be 100% sure that there 
  39. # were no really broken RIP implementation somewhere in the cyberspace. 
  40. # Looks OK now.
  41.   script_category(ACT_ATTACK);
  42.   script_copyright(english:"This script is Copyright (C) 2003 Michel Arboi");
  43.   family["english"] = "Misc.";
  44.   family["francais"] = "Divers";
  45.   script_family(english:family["english"], francais:family["francais"]);
  46.   script_dependencie("rip_detect.nasl");
  47.   script_require_keys("Services/udp/rip");
  48.   exit(0);
  49. }
  50.  
  51. ##include("dump.inc");
  52.  
  53. port = get_kb_item("Services/udp/rip");
  54. if (! port) port = 520;
  55.  
  56. #if (! get_udp_port_state(port)) exit(0); # Not very efficient with UDP!
  57.  
  58. a1 = 192; a2 = 0; a3 = 34; a4 =  166;    # example.com
  59.  
  60. function check_example_com()
  61. {
  62.   local_var    r, l, ver, i, soc, broken; 
  63.   
  64.   broken = get_kb_item("/rip/" + port + "/broken_source_port");
  65.   if (broken)
  66.     soc = open_priv_sock_udp(dport:port, sport:port);
  67.   else
  68.     soc = open_sock_udp(port);
  69.   if (!soc) return(0);
  70.  
  71.   # Special request - See º3.4.1 of RFC 1058
  72.   req = raw_string(1, 1, 0, 0, 0, 0, 0, 0, 
  73.         0, 0, 0, 0,
  74.         0, 0, 0, 0,
  75.         0, 0, 0, 0,
  76.         0, 0, 0, 16);
  77.   send(socket: soc, data: req);
  78.   r = recv(socket:soc, length: 512);
  79.   ##dump(ddata: r, dtitle: "routed");
  80.  
  81.   close(soc);
  82.   l = strlen(r);
  83.   if (l < 4 || ord(r[0]) != 2) return (0);    # Not a RIP answer
  84.   ver = ord(r[1]); 
  85.   if (ver != 1 && ver != 2) return (0);    # Not a supported RIP version?
  86.  
  87.   for (i = 4; i < l; i += 20)
  88.   {
  89.     fam = 256 * ord(r[i]) + ord(r[i+1]);
  90.     if (fam == 2)
  91.       if (ord(r[i+4]) == a1 && ord(r[i+5]) == a2
  92.     && ord(r[i+6]) == a3  && ord(r[i+7]) == a4 # Addr
  93. # We ignore route which have 'infinite' length
  94.     && ord(r[i+16]) == 0 && ord(r[i+17]) == 0 
  95.     && ord(r[i+18]) == 0 && ord(r[i+19]) != 16) # Hops
  96.         return 1;
  97.   }
  98.   return 0;
  99. }
  100.  
  101. if (check_example_com()) exit(0);    # Routing table is weird
  102.  
  103. soc = open_priv_sock_udp(sport: 520, dport: 520);
  104. if (! soc) exit(0);
  105.  
  106.  
  107. req = raw_string(2, 1, 0, 0, 
  108.         0, 2, 0, 0, 
  109.         a1, a2, a3, a4,
  110.         0, 0, 0, 0,
  111.         0, 0, 0, 0,
  112.         0, 0, 0, 14);    # Hops - limit the propagation of the bogus route
  113. # Maybe we should use the result of traceroute to set the right number?
  114.  
  115. send(socket: soc, data: req);
  116. ##close(soc);
  117.  
  118. if (check_example_com())
  119. {
  120.   security_hole(port: port, protocol: "udp");
  121.   if (! islocalnet())
  122.     security_hole(port: port, protocol: "udp", 
  123. data: "Your RIP listener accepts routes that are not sent by a neighbour.
  124. This cannot happen in the RIP protocol as defined by RFC2453, and 
  125. although the RFC is silent on this point, such routes should probably 
  126. be ignored.
  127.  
  128. A remote attacker might use this flaw to access your local network, if
  129. it is not protected by a properly configured firewall.
  130.  
  131. Solution : reconfigure your RIP listener if possible
  132.     or use another routing protocol,
  133.     or disable the RIP listener if you don't need it.
  134.  
  135. Risk factor : High");
  136.  
  137. # Fix it: set the number of hops to "infinity".
  138.  
  139.   req = raw_string(2, 1, 0, 0, 
  140.         0, 2, 0, 0, 
  141.         a1, a2, a3, a4,
  142.         0, 0, 0, 0,
  143.         0, 0, 0, 0,
  144.         0, 0, 0, 16);    # Hops
  145.   send(socket: soc, data: req);
  146. }
  147.  
  148. close(soc);
  149.  
  150. ##if (! check_example_com()) display("Fixed!\n");
  151.