home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / flashfxp_overflow.nasl < prev    next >
Encoding:
Text File  |  2005-01-14  |  2.9 KB  |  132 lines
  1. #
  2. # (C) Tenable Network Security
  3. #
  5. # Ref: 
  6. #
  7. # Date: Mon, 09 Jun 2003 12:19:39 +0900
  8. # From: ":: Operash ::" <nesumin@softhome.net>
  9. # To: bugtraq@securityfocus.com
  10. # Subject: [FlashFXP] Two Buffer Overflow Vulnerabilities
  11. #
  12.  
  13. if(description)
  14. {
  15.  script_id(11710);
  16.  script_bugtraq_id(7857, 7859);
  17.  script_version("$Revision: 1.4 $");
  18.  
  19.  name["english"] = "FlashFXP Overflow";
  20.  
  21.  script_name(english:name["english"]);
  22.  
  23.  desc["english"] = "
  24. The remote host is running FlashFXP - a FTP client.
  25.  
  26. There is a flaw in the remote version of this software which may 
  27. allow an attacker to execute arbitrary code on this host.
  28.  
  29. To exploit it, an attacker would need to set up a rogue FTP
  30. server and have a user on this host connect to it.
  31.  
  32. Solution : Upgrade to version 2.1 or newer
  33. Risk factor : High";
  34.  
  35.  
  36.  
  37.  script_description(english:desc["english"]);
  38.  
  39.  summary["english"] = "Determines the presence of FlashFXP";
  40.  
  41.  script_summary(english:summary["english"]);
  42.  
  43.  script_category(ACT_GATHER_INFO);
  44.  
  45.  script_copyright(english:"This script is Copyright (C) 2003 Tenable Network Security");
  46.  family["english"] = "Windows";
  47.  script_family(english:family["english"]);
  48.  
  49.  script_dependencies("netbios_name_get.nasl",
  50.               "smb_login.nasl","smb_registry_access.nasl");
  51.  script_require_keys("SMB/name", "SMB/login", "SMB/password",
  52.              "SMB/WindowsVersion",
  53.              "SMB/registry_access");
  54.  
  55.  script_require_ports(139, 445);
  56.  exit(0);
  57. }
  58.  
  59.  
  60. include("smb_nt.inc");
  61.  
  62.  
  63.  
  64. rootfile = registry_get_sz(key:"SOFTWARE\Microsoft\Windows\CurrentVersion", item:"ProgramFilesDir");
  65. if(!rootfile)
  66. {
  67.  exit(0);
  68. }
  69. else
  70. {
  71.  share = ereg_replace(pattern:"([A-Z]):.*", replace:"\1$", string:rootfile);
  72.  exe =  ereg_replace(pattern:"[A-Z]:(.*)", replace:"\1\FlashFXP\FlashFXP.exe", string:rootfile);
  73.  }
  74.  
  75.  
  76.  
  77.  
  78. name     =  kb_smb_name();
  79. login    =  kb_smb_login();
  80. pass      =  kb_smb_password();
  81. domain     =  kb_smb_domain();
  82. port    =  kb_smb_transport();
  83. if(!port) port = 139;
  84.  
  85.  
  86.  
  87. if(!get_port_state(port))exit(0);
  88.  
  89. soc = open_sock_tcp(port);
  90. if(!soc)exit(0);
  91.  
  92.  
  93.  
  94. r = smb_session_request(soc:soc, remote:name);
  95. if(!r)exit(0);
  96.  
  97. prot = smb_neg_prot(soc:soc);
  98. if(!prot)exit(0);
  99.  
  100. r = smb_session_setup(soc:soc, login:login, password:pass, domain:domain, prot:prot);
  101. if(!r)exit(0);
  102.  
  103. uid = session_extract_uid(reply:r);
  104.  
  105.  
  106.  
  107. r = smb_tconx(soc:soc, name:name, uid:uid, share:share);
  108. tid = tconx_extract_tid(reply:r);
  109. if(!tid)exit(0);
  110.  
  111. fid = OpenAndX(socket:soc, uid:uid, tid:tid, file:exe);
  112. if(fid != 0)
  113. {
  114.  fsize = smb_get_file_size(socket:soc, uid:uid, tid:tid, fid:fid);
  115.  
  116.  off = fsize - 16384;
  117.  data = ReadAndX(socket:soc, uid:uid, tid:tid, fid:fid, count:16384, off:off);
  118.  data = str_replace(find:raw_string(0), replace:"", string:data);
  119.  
  120.  version = strstr(data, "FileVersion");
  121.  if(!version)exit(0);
  122.  for(i=strlen("FileVersion");i<strlen(version);i++)
  123.  {
  124.  if((ord(version[i]) < ord("0") ||
  125.     ord(version[i]) > ord("9")) && 
  126.     version[i] != ".")break;
  127.  else 
  128.    v += version[i];
  130.  if(ereg(pattern:"^(1\..*|2\.0\.)", string:v))security_hole(port);
  131. }
  132.