home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / library / hack99 / wingate.3.0.txt < prev    next >
Encoding:
Internet Message Format  |  1999-04-11  |  5.9 KB
  1. Date: Mon, 5 Apr 1999 17:52:51 -0700
  2. From: Marc <Marc@EEYE.COM>
  3. To: NTBUGTRAQ@LISTSERV.NTBUGTRAQ.COM
  4. Subject: Multiple WinGate Vulnerabilities[Tad late]
  5.  
  6. At first we were just going to post this advisory to our website but after
  7. the subject came up on the NTSEC list and we got a few emails telling us to
  8. post it to the other lists... well here it is.
  9.  
  10. Signed,
  11. Marc
  12. eEye Digital Security Team
  13. http://www.eEye.com
  14.  
  15. P.S.
  16. Go see Matrix.
  17.  
  18. ________________________________________________________________________
  19.  
  20. eEye Digital Security Team <e>
  21. www.eEye.com
  22. info@eEye.com
  23. February 22, 1999
  24. ________________________________________________________________________
  25.  
  26. Multiple WinGate Vulnerabilities
  27.  
  28. Systems Affected
  29. WinGate 3.0
  30.  
  31. Release Date
  32. February 22, 1999
  33.  
  34. Advisory Code
  35. AD02221999
  36.  
  37. ________________________________________________________________________
  38.  
  39. Description:
  40. ________________________________________________________________________
  41.  
  42. WinGate 3.0 has three vulnerabilities. Read any file on the remote system.
  43. 1. Read any file on the remote system.
  44. 2. DoS the WinGate service.
  45. 3. Decrypt WinGate passwords.
  46.  
  47. ________________________________________________________________________
  48.  
  49. Read any file on the remote system
  50. ________________________________________________________________________
  51.  
  52. We were debating if we should add this to the advisory or not. We
  53. figured it would not hurt so here it is.
  54. The WinGate Log File service in the past has had holes were you can
  55. read any file on the system and the holes still seem to be there and
  56. some new ways of doing it have cropped up.
  57.  
  58. http://www.server.com:8010/c:/ - NT/Win9x
  59. http://www.server.com:8010// - NT/Win9x
  60. http://www.server.com:8010/..../ - Win9x
  61.  
  62. Each of the above URLs will list all files on the remote machine.
  63. There are a few reasons why we were not sure if we were going to post
  64. this information.
  65.  
  66. By default all WinGate services are set so that only 127.0.0.1
  67. can use the service. However the use for the log file service is to let
  68. users remotely view
  69. the logs so therefore chances are people using the log file service
  70. are not going to be leaving it on 127.0.0.1. Also by default in the
  71. WinGate settings "Browse" is enabled. We are not sure if the developers
  72. intended the Browse option to mean the whole hard drive. We would hope
  73. not.
  74.  
  75. The main reason we did put this in the advisory is the fact that
  76. the average person using WinGate (Cable Modem Users etc..) are not the
  77. brightest of people and they will open the Log Service so that everyone
  78. has access to it. We understand there are papers out there saying not
  79. to do this and even the program it self says not to, but the average
  80. person will not let this register in their head as a bad thing so the
  81. software should at least make it as secure as possible. Letting people
  82. read any file is not living to that standard. Any way, lets move on...
  83. ________________________________________________________________________
  84.  
  85. DoS the WinGate Service
  86. ________________________________________________________________________
  87.  
  88. The Winsock Redirector Service sits on port 2080. When you connect to it
  89. and send 2000 characters and disconnect it will crash all WinGate
  90. services. O Yippee
  91.  
  92. ________________________________________________________________________
  93.  
  94. Decrypt the WinGate passwords
  95. ________________________________________________________________________
  96.  
  97. The registry keys where WinGate stores its passwords are insecure and
  98. let everyone read them. Therefore anyone can get the passwords and
  99. decrypt them. Code follows.
  100.  
  101. ________________________________________________________________________
  102.  
  103. // ChrisA@eEye.com
  104. // Mike@eEye.com
  105.  
  106. #include "stdafx.h"
  107. #include <stdio.h>
  108. #include <string.h>
  109.  
  110. main(int argc, char *argv[]) {
  111. char i;
  112.  
  113. for(i = 0; i < strlen(argv[1]); i++)
  114. putchar(argv[1][i]^(char)((i + 1) << 1));
  115. return 0;
  116.  
  117. }
  118. ________________________________________________________________________
  119.  
  120. You get the idea...
  121.  
  122. It is good that WinGate 3.0 by default locks down all services to 127.0.0.1.
  123. However, there still seems to be holes were if one gets access to the
  124. WinGate service, non-blocked ip, they can do some damage. Chances
  125. are if you poke hard at some of the other services you will find similar
  126. problems as above. Software developers need to remember that the avg. user
  127. is not all
  128. ways the brightest so our products security must be as tight as possible.
  129.  
  130. ________________________________________________________________________
  131.  
  132. Vendor Status
  133. ________________________________________________________________________
  134.  
  135. Contacted a month or so ago, have heard nothing. Someone from the NTSEC
  136. list contact eval-support@wingate.net with our findings and they were
  137. sent an email back rather quickly. We had sent our emails to
  138. support@wingate.net and things of the such. Maybe all three of our
  139. emails just got lost. The last we've heard WinGate is taking steps to fix
  140. the problem. Look for patches soon.
  141.  
  142. ________________________________________________________________________
  143.  
  144. Copyright (c) 1999 eEye Digital Security Team
  145. ________________________________________________________________________
  146.  
  147. Permission is hereby granted for the redistribution of this alert
  148. electronically. It is not to be edited in any way without express consent of
  149. eEye. If you wish to reprint the whole or any part of this alert in any
  150. other medium excluding electronic medium, please e-mail alert@eEye.com for
  151. permission.
  152.  
  153. ________________________________________________________________________
  154.  
  155. Disclaimer:
  156. ________________________________________________________________________
  157.  
  158. The information within this paper may change without notice. Use of this
  159. information constitutes acceptance for use in an AS IS condition. There are
  160. NO warranties with regard to this information. In no event shall the author
  161. be liable for any damages whatsoever arising out of or in connection with
  162. the use or spread of this information. Any use of this information is at the
  163. user's own risk.
  164.  
  165. Please send suggestions, updates, and comments to:
  166. eEye Digital Security Team
  167. info@eEye.com
  168. http://www.eEye.com
  169.  
  170.  
  171.