home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / msrpc_dcom2.nasl < prev    next >
Encoding:
Text File  |  2005-01-14  |  19.6 KB  |  609 lines
  1. #
  2. # (C) Tenable Network Security
  3. #
  4. # v1.2: use the same requests as MS checktool
  5. # v1.16: use one of eEye's request when a null session can't be established
  6. #
  7. if(description)
  8. {
  9.  script_id(11835);
  10.  script_bugtraq_id(8458, 8460);
  11.  script_cve_id("CAN-2003-0715", "CAN-2003-0528", "CAN-2003-0605");
  12.  if(defined_func("script_xref"))script_xref(name:"IAVA", value:"2003-A-0012");
  13.  
  14.  
  15.  script_version ("$Revision: 1.36 $");
  16.  
  17.  name["english"] = "Microsoft RPC Interface Buffer Overrun (KB824146)";
  18.  script_name(english:name["english"]);
  19.  
  20.  desc["english"] = "
  21. The remote host is running a version of Windows which has a flaw in 
  22. its RPC interface, which may allow an attacker to execute arbitrary code 
  23. and gain SYSTEM privileges. 
  24.  
  25. An attacker or a worm could use it to gain the control of this host.
  26.  
  27. Note that this is NOT the same bug as the one described in MS03-026 
  28. which fixes the flaw exploited by the 'MSBlast' (or LoveSan) worm.
  29.  
  30. Solution: see http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx 
  31. Risk factor : High";
  32.  
  33.  script_description(english:desc["english"]);
  34.  
  35.  summary["english"] = "Checks if the remote host has a patched RPC interface (KB824146)";
  36.  script_summary(english:summary["english"]);
  37.  
  38.  script_category(ACT_GATHER_INFO);
  39.  
  40.  script_copyright(english:"This script is Copyright (C) 2003 Tenable Network Security");
  41.  family["english"] = "Gain root remotely";
  42.  script_family(english:family["english"]);
  43.  script_require_ports("Services/msrpc", 135, 139, 593);
  44.  script_dependencies("smb_nativelanman.nasl"); #KK Liu 10/01/2004
  45.  exit(0);
  46. }
  47.  
  48. #
  49. # The script code starts here
  50. #
  51.  
  52. include("smb_nt.inc");
  53. include("misc_func.inc");
  54.  
  55. function open_wkssvc(soc, uid, tid)
  56. {
  57.  local_var uid_lo, uid_hi, tid_lo, tid_hi, r;
  58.  
  59.  uid_lo = uid % 256;
  60.  uid_hi = uid / 256;
  61.  
  62.  tid_lo = tid % 256;
  63.  tid_hi = tid / 256;
  64.  
  65.  
  66.  r = raw_string(   0x00, 0x00,
  67.             0x00, 0x64, 0xFF, 0x53, 0x4D, 0x42, 0xA2, 0x00,
  68.            0x00, 0x00, 0x00, 0x18, 0x07, 0xC8, 0x00, 0x00,
  69.            0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
  70.            0x00, 0x00, tid_lo, tid_hi, 0x00, 0x28,uid_lo, uid_hi,
  71.            0x00, 0x00, 0x18, 0xFF, 0x00, 0xDE, 0xDE, 0x00,
  72.            0x0E, 0x00, 0x16, 0x00, 0x00, 0x00, 0x00, 0x00,
  73.            0x00, 0x00, 0x9F, 0x01, 0x02, 0x00, 0x00, 0x00,
  74.            0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
  75.            0x00, 0x00, 0x03, 0x00, 0x00, 0x00, 0x01, 0x00,
  76.            0x00, 0x00, 0x40, 0x00, 0x00, 0x00, 0x01, 0x00,
  77.            0x00, 0x00, 0x01, 0x11, 0x00, 0x00, 0x5C, 0x00,
  78.            0x77, 0x00, 0x6b, 0x00, 0x73, 0x00, 0x73, 0x00,
  79.            0x76, 0x00, 0x63, 0x00, 0x00, 0x00);
  80.  
  81.  send(socket:soc, data:r);
  82.  r = smb_recv(socket:soc, length:4096);
  83.  
  84.  if(strlen(r) < 65)return(NULL);
  85.  else
  86.   {
  87.    fid_lo = ord(r[42]);
  88.    fid_hi = ord(r[43]);
  89.    return(fid_lo + (fid_hi * 256));
  90.   }
  91. }
  92.  
  93. function bind(soc, uid, tid, fid)
  95.  local_var uid_lo, uid_hi, tid_lo, tid_hi, fid_lo, fid_hi, r;
  96.  
  97.  uid_lo = uid % 256;
  98.  uid_hi = uid / 256;
  99.  
  100.  tid_lo = tid % 256;
  101.  tid_hi = tid / 256;
  102.  
  103.  fid_lo = fid % 256;
  104.  fid_hi = fid / 256;
  105.  
  106.  r = raw_string(0x00, 0x00,
  107.          0x00, 0x9C, 0xFF, 0x53, 0x4D, 0x42, 0x25, 0x00,
  108.         0x00, 0x00, 0x00, 0x18, 0x07, 0xC8, 0x00, 0x00,
  109.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
  110.         0x00, 0x00, tid_lo, tid_hi, 0x00, 0x28, uid_lo, uid_hi,
  111.         0x00, 0x00, 0x10, 0x00, 0x00, 0x48, 0x00, 0x00,
  112.         0x00, 0x00, 0x04, 0x00, 0x00, 0x00, 0x00, 0x00,
  113.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x54, 
  114.         0x00, 0x48, 0x00, 0x54, 0x00, 0x02, 0x00, 0x26, 
  115.         0x00, fid_lo, fid_hi, 0x59, 0x00, 0x05, 0x5C, 0x00,
  116.         0x50, 0x00, 0x49, 0x00, 0x50, 0x00, 0x45, 0x00,
  117.         0x5C, 0x00, 0x00, 0x00, 0x00, 0x00, 0x05, 0x00,
  118.         0x0B, 0x03, 0x10, 0x00, 0x00, 0x00, 0x48, 0x00,
  119.         0x00, 0x00, 0x01, 0x00, 0x00, 0x00, 0xB8, 0x10,
  120.         0xB8, 0x10, 0x00, 0x00, 0x00, 0x00, 0x01, 0x00,
  121.         0x00, 0x00, 0x00, 0x00, 0x01, 0x00, 0x98, 0xD0,
  122.         0xFF, 0x6B, 0x12, 0xA1, 0x10, 0x36, 0x98, 0x33,
  123.         0x46, 0xC3, 0xF8, 0x7E, 0x34, 0x5a, 0x01, 0x00,
  124.         0x00, 0x00, 0x04, 0x5d, 0x88, 0x8a, 0xeb, 0x1c,
  125.         0xc9, 0x11, 0x9f, 0xe8, 0x08, 0x00, 0x2B, 0x10,
  126.         0x48, 0x60, 0x02, 0x00, 0x00, 0x00);
  127.  
  128.  send(socket:soc, data:r);
  129.  r = smb_recv(socket:soc, length:4096);
  130.  
  131.  
  132.  return r;
  133. }
  134.  
  135.  
  136. function get_wks_info(soc, uid, tid, fid)
  137. {
  138.   local_var uid_lo, uid_hi, tid_lo, tid_hi, fid_lo, fid_hi, r, name, len;
  139.   local_var len_hi, len_lo, uname, i, wks, dce, smb;
  140.  
  141.  uid_lo = uid % 256;
  142.  uid_hi = uid / 256;
  143.  
  144.  tid_lo = tid % 256;
  145.  tid_hi = tid / 256;
  146.  
  147.  fid_lo = fid % 256;
  148.  fid_hi = fid / 256;
  149.  
  150.  name = "\\" + get_host_ip();
  151.  
  152.  for(i=0;i<strlen(name);i++)
  153.  { 
  154.   uname += name[i] + raw_string(0);
  155.  }
  156.  
  157.  uname += raw_string(0, 0);
  158.  if((strlen(name) & 1) == 0)uname += raw_string(0, 0);
  159.  
  160.  len = strlen(name) + 1;
  161.  len_hi = len / 256;
  162.  len_lo = len % 256;
  163.  
  164.  
  165.  wks = raw_string(0xB0, 0x3D, 
  166.            0x7F, 0x00, len_lo, len_hi, 0x00, 0x00, 0x00, 0x00,
  167.           0x00, 0x00, len_lo, len_hi, 0x00, 0x00) + uname +
  168.     raw_string(0x64, 0x00, 0x00, 0x00);
  169.  
  170.  
  171.     
  172.  
  173.  len = 24 + strlen(wks);
  174.  len_hi = len / 256;
  175.  len_lo = len % 256;
  176.  
  177.  dce = raw_string(0x05, 0x00,
  178.             0x00, 0x03, 0x10, 0x00, 0x00, 0x00, len_lo, len_hi,
  179.           0x00, 0x00, 0x01, 0x00, 0x00, 0x00, 0x34, 0x00,
  180.           0x00, 0x00, 0x00, 0x00, 0x00, 0x00) + wks;
  181.           
  182.  
  183.  
  184.   
  185.  
  186.              
  187.   smbpipe2 = raw_string(    0x05, 0x5C, 0x00,
  188.               0x50, 0x00, 0x49, 0x00, 0x50, 0x00, 0x45, 0x00, 
  189.              0x5C, 0x00, 0x00, 0x00, 0x00, 0x00) + dce;
  190.              
  191.              
  192.   len = strlen(smbpipe2);
  193.   len_hi = len / 256;
  194.   len_lo = len % 256;
  195.           
  196.   smbpipe = raw_string(0x26, 0x00, fid_lo, fid_hi, len_lo, len_hi) + smbpipe2;
  197.              
  198.                                        
  199.  
  200.  smb = raw_string(          0xFF, 0x53, 0x4D, 0x42, 0x25, 0x00,
  201.            0x00, 0x00, 0x00, 0x18, 0x07, 0xc8, 0x00, 0x00,
  202.           0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
  203.           0x00, 0x00, tid_lo, tid_hi, 0x00, 0x28, uid_lo, uid_hi,
  204.           0x00, 0x00, 0x10, 0x00, 0x00, strlen(dce) % 256, strlen(dce) / 256, 0x00,
  205.           0x00, 0x00, 0x04, 0x00, 0x00, 0x00, 0x00, 0x00,
  206.           0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x54,
  207.           0x00, strlen(dce) % 256, strlen(dce) / 256, 0x54, 0x00, 0x02, 0x00) + smbpipe;
  208.           
  209.  netbios = raw_string(0, 0, strlen(smb) / 256, strlen(smb) % 256) + smb;
  210.  send(socket:soc, data:netbios);
  211.  r = smb_recv(socket:soc, length:4096);
  212.  if(strlen(r) < 120)return NULL;
  213.  
  214.  len = ord(r[120]) + (ord(r[121]) * 256);
  215.  len --;
  216.  name = NULL;
  217.  
  218.  if ( strlen(r) < (124 + len*2) ) return NULL;
  219.  
  220.  
  221.  for(i=124;i<124 + len*2;i+=2)
  222.  {
  223.   name += r[i];
  224.  }
  225.  return name;
  226. }
  227.  
  228.  
  229. function get_smb_host_name()
  230. {
  231. local_var r, soc, uid;
  232.  
  233. if(!get_port_state(139))return NULL;
  234. soc = open_sock_tcp(139);
  235. if(!soc)return NULL;
  236.  
  237. r = smb_session_request(soc:soc, remote:"*SMBSERVER");
  238. if(!r)return NULL;
  239.  
  240. prot = smb_neg_prot(soc:soc);
  241. if(!prot)return NULL;
  242.  
  243. r = smb_session_setup(soc:soc, login:"", password:"", domain:"", prot:prot);
  244. if(!r)return NULL;
  245.  
  246. uid = session_extract_uid(reply:r);
  247.  
  248. r = smb_tconx(soc:soc, name:"*SMBSERVER", uid:uid, share:"IPC$");
  249. tid = tconx_extract_tid(reply:r);
  250. if(!tid)return NULL;
  251.  
  252. fid = open_wkssvc(soc:soc, uid:uid, tid:tid);
  253.  
  254. r = bind(soc:soc, uid:uid, tid:tid, fid:fid);
  255.  
  256. r = get_wks_info(soc:soc, uid:uid, tid:tid, fid:fid);
  257. close(soc);
  258. return r;
  259. }
  260.  
  261.  
  262.  
  263.  
  264.  
  265. function dcom_recv(socket)
  266. {
  267.  local_var buf, len;
  268.  
  269.  buf = recv(socket:socket, length:10);
  270.  if(strlen(buf) != 10)return NULL;
  271.  
  272.  len = ord(buf[8]);
  273.  len += ord(buf[9])*256;
  274.  buf += recv(socket:socket, length:len - 10);
  275.  return buf;
  276. }
  277.  
  278.  
  279. #-------------------------------------------------------------#
  280.  
  281. function check(req)
  283.  local_var soc, bindstr, error_code, r;
  284.  
  285.  
  286.  soc = open_sock_tcp(port);
  287.  if(!soc)raisewarn(text:"check: open_sock");
  288.  
  289.  bindstr = "05000b03100000004800000001000000d016d016000000000100000000000100a001000000000000c00000000000004600000000045d888aeb1cc9119fe808002b10486002000000";
  290.  send(socket:soc, data:hex2raw(s:bindstr));
  291.  r = dcom_recv(socket:soc);
  292.  if(!r)raisewarn(text:"check: dcom_recv");
  293.  
  294.  send(socket:soc, data:req);
  295.  r = dcom_recv(socket:soc);
  296.  if(!r)return NULL;
  297.  
  298.  close(soc);
  299.  error_code = substr(r, strlen(r) - 4, strlen(r) - 1);
  300.  
  301.  return error_code;
  302. }
  303.  
  304. function check2(req)
  306.  local_var soc,bindstr, error_code, r;
  307.  
  308.  
  309.  soc = open_sock_tcp(port);
  310.  if(!soc)raisewarn(text:"check2: open_sock");
  311.  
  312.  bindstr = "05000b03100000004800000001000000d016d016000000000100000000000100a001000000000000c00000000000004600000000045d888aeb1cc9119fe808002b10486002000000";
  313.  send(socket:soc, data:hex2raw(s:bindstr));
  314.  r = dcom_recv(socket:soc);
  315.  if(!r)raisewarn(text:"check2: dcom_recv");
  316.  
  317.  send(socket:soc, data:req);
  318.  r = dcom_recv(socket:soc);
  319.  close(soc);
  320.  if(!r)return NULL;
  321.  
  322.  
  323.  error_code = substr(r, strlen(r) - 8, strlen(r) - 5);
  324.  return error_code;
  325. }
  326.  
  327.  
  328. function check3(req)
  329. {
  330.  local_var soc,bindstr, error_code, r;
  331.  
  332.  
  333.  soc = open_sock_tcp(port);
  334.  if(!soc)raisewarn(text:"check3: open_sock");
  335.  
  336.  bindstr = "05000b03100000004800000002000000d016d016000000000100000001000100b84a9f4d1c7dcf11861e0020af6e7c5700000000045d888aeb1cc9119fe808002b10486002000000";
  337.  
  338.  
  339.  
  340.  send(socket:soc, data:hex2raw(s:bindstr));
  341.  r = dcom_recv(socket:soc);
  342.  if(!r)raisewarn(text:"check3: dcom_recv");
  343.  
  344.  send(socket:soc, data:req);
  345.  r = dcom_recv(socket:soc);
  346.  close(soc);
  347.  if(!r)return NULL;
  348.  
  349.  
  350.  error_code = substr(r, strlen(r) - 24, strlen(r) - 21);
  351.  return error_code;
  352. }
  353.  
  354.  
  355. function check4(req)
  356. {
  357.   local_var soc,bindstr, error_code, r;
  358.  
  359.  
  360.  soc = open_sock_tcp(port);
  361.  if(!soc)raisewarn(text:"check4: open_sock");
  362.  
  363.  bindstr = "05000b03100000004800000002000000d016d016000000000100000001000100b84a9f4d1c7dcf11861e0020af6e7c5700000000045d888aeb1cc9119fe808002b10486002000000";
  364.  
  365.  
  366.  
  367.  send(socket:soc, data:hex2raw(s:bindstr));
  368.  r = dcom_recv(socket:soc);
  369.  if(!r)raisewarn(text:"check4: dcom_recv");
  370.  
  371.  send(socket:soc, data:req);
  372.  r = dcom_recv(socket:soc);
  373.  if(!r)return NULL;
  374.  close(soc);
  375.  
  376.  
  377.  error_code = substr(r, strlen(r) - 24, strlen(r) - 21);
  378.  return error_code;
  379. }
  380.  
  381.  
  382. function check6(req)
  383. {
  384.   local_var soc,bindstr, error_code, r;
  385.  
  386.  
  387.  soc = open_sock_tcp(port);
  388.  if(!soc)raisewarn(text:"check6: open_sock");
  389.  
  390.  bindstr = "05000b031000000048000000deadbeefd016d016000000000100000000000100b84a9f4d1c7dcf11861e0020af6e7c5700000000045d888aeb1cc9119fe808002b10486002000000";
  391.  
  392.  
  393.  
  394.  
  395.  
  396.  send(socket:soc, data:hex2raw(s:bindstr));
  397.  r = dcom_recv(socket:soc);
  398.  if(!r)raisewarn(text:"check6: dcom_recv");
  399.  
  400.  send(socket:soc, data:req);
  401.  r = dcom_recv(socket:soc);
  402.  close(soc);
  403.  if(!r)return NULL;
  404.  
  405.  
  406.  error_code = substr(r, strlen(r) - 24, strlen(r) - 21);
  407.  return error_code;
  408. }
  409.  
  410. function req5()
  411. {
  412.  local_var name, buf, uname;
  413.  
  414.  
  415.  name = get_smb_host_name();    
  416.  if(!name)return NULL;
  417.  
  418.  name = "\\" + name + "\C$\";
  419.  
  420.  len = strlen(name) + 1;
  421.  
  422.  for(i=0;i<strlen(name);i++)
  423.  { 
  424.   uname += name[i] + raw_string(0);
  425.  }
  426.  
  427.  if((strlen(name) & 1) == 0)  uname += raw_string(0, 0);
  428.  
  429.  
  430.  len_lo = len % 256;
  431.  len_hi = len / 256;
  432.  
  433.  
  434.  
  435.  buf = raw_string(0x05, 0x00,
  436.      0x02, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
  437.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
  438.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
  439.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x95, 0x96,
  440.     0x95, 0x2A, 0x8c, 0xDA, 0x6D, 0x4a, 0xb2, 0x36,
  441.     0x19, 0xBC, 0xAF, 0x2C, 0x2d, 0xea, 0x30, 0xeb,
  442.     0x8F, 0x00, len_lo, len_hi, 0x00, 0x00, 0x00, 0x00,
  443.     0x00, 0x00, len_lo, len_hi, 0x00, 0x00) + uname +
  444.     raw_string(
  445.     0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x03, 0x00,
  446.     0x00, 0x00, 0x02, 0x00, 0x00, 0x00, 0x01, 0x00,
  447.     0x00, 0x00, 0xdc, 0xea, 0x8f, 0x00, 0x01, 0x00,
  448.     0x00, 0x00, 0x95, 0x96, 0x95, 0x2A, 0x8C, 0xDA,
  449.     0x6D, 0x4a, 0xb2, 0x36, 0x19, 0xbc, 0xaf, 0x2c,
  450.     0x2d, 0xea, 0x01, 0x00, 0x00, 0x00, 0x01, 0x00,
  451.     0x00, 0x00, 0x5C, 0x00);
  452.  
  453.  len  = strlen(buf);
  454.  len_lo = len % 256;
  455.  len_hi = len / 256;
  456.  tlen = len + 24;
  457.  tlen_lo = tlen % 256;
  458.  tlen_hi = tlen / 256;
  459.  head = raw_string(0x05, 0x00,
  460.      0x00, 0x03, 0x10, 0x00, 0x00, 0x00, tlen_lo, tlen_hi,
  461.     0x00, 0x00, 0x02, 0x00, 0x00, 0x00, len_lo,len_hi,
  462.     0x00, 0x00, 0x01, 0x00, 0x00, 0x00) + buf;
  463.  
  464.  return head;
  465. }
  466.  
  467. #---------------------------------------------------------------#
  468. function raisewarn(text)
  469. {
  470. # results were indeterminate, stop false MS03-026 detection
  471.  data = string("Network problems stopped us from finding out if the host is vulnerable to MS03-039 or not. Diagnostic = ", text);
  472.  set_kb_item(name:"SMB/KB824146", value:TRUE); 
  473.  security_warning(port:port, data:data);
  474.  exit(0);
  475. }
  476. #---------------------------------------------------------------#
  477.  
  478.  
  479. port = 135;
  480. if(!get_port_state(port))port = 593;
  481. else {
  482.  soc = open_sock_tcp(port);
  483.  if(!soc)port = 593;
  484.  else close(soc);
  485. }
  486. if(!get_port_state(port))exit(0);
  487.  
  488. target = get_host_ip();
  489. # Determine if we the remote host is running Win95/98/ME
  490. bindwinme = "05000b03100000004800000053535641d016d016000000000100000000000100e6730ce6f988cf119af10020af6e72f402000000045d888aeb1cc9119fe808002b10486002000000";
  491. soc = open_sock_tcp(port);
  492. if(!soc)exit(0);
  493. send(socket:soc, data:hex2raw(s:bindwinme));
  494. rwinme = dcom_recv(socket:soc);
  495. if(!rwinme)raisewarn(text:"main: dcom_recv");
  496. close(soc);
  497. lenwinme = strlen(rwinme);
  498. stubwinme = substr(rwinme, lenwinme-24, lenwinme-21);
  499.  
  500. # This is Windows 95/98/ME which is not vulnerable
  501. if("02000100" >< hexstr(stubwinme))exit(0);
  502.  
  503.  
  504. #----------------------------------------------------------------#
  505.  
  506. REGDB_CLASS_NOTREG = "5401048000";
  507. CO_E_BADPATH = "0400088000";
  508. NT_QUOTE_ERROR_CODE_EQUOTE = "00000000";
  509.  
  510.  
  511.  
  512. #
  513. req1 = "0500000310000000b00300000100000098030000000004000500020000000000000000000000000000000000000000000000000000000000000000009005140068030000680300004d454f5704000000a201000000000000c0000000000000463803000000000000c0000000000000460000000038030000300300000000000001100800ccccccccc80000000000000030030000d80000000000000002000000070000000000000000000000000000000000000018018d00b8018d000000000007000000b901000000000000c000000000000046ab01000000000000c000000000000046a501000000000000c000000000000046a601000000000000c000000000000046a401000000000000c000000000000046ad01000000000000c000000000000046aa01000000000000c0000000000000460700000060000000580000009000000058000000200000006800000030000000c000000001100800cccccccc5000000000000000ffffffff0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001100800cccccccc4800000000000000005d889aeb1cc9119fe808002b1048601000000000000000000000000100000000000000b8470a005800000005000600010000000000000000000000c000000000000046cccccccc01100800cccccccc80000000000000000000000000000000000000000000000020ba09000000000060000000600000004d454f5704000000c001000000000000c0000000000000463b03000000000000c000000000000046000000003000000001000100673c70941333fd4687244d093988939d0200000000000000000000000000000000000000000000000100000001100800cccccccc480000000000000000000000b07e09000000000000000000f0890a0000000000000000000d000000000000000d000000730061006a00690061006400650076005f0078003800360000000800cccccccc01100800cccccccc10000000000000000000000000000000000000000000000001100800cccccccc5800000000000000c05e0a000000000000000000000000001b000000000000001b0000005c005c0000005c006a00690061006400650076005f007800000036005c007000750062006c00690063005c004100410041004100000000000100150001100800cccccccc200000000000000000000000905b09000200000001006c00c0df0800010000000700550000000000";
  514.  
  515. req2 = "0500000310000000b00300000200000098030000000004000500020000000000000000000000000000000000000000000000000000000000000000009005140068030000680300004d454f5704000000a201000000000000c0000000000000463803000000000000c0000000000000460000000038030000300300000000000001100800ccccccccc80000000000000030030000d80000000000000002000000070000000000000000000000000000000000000018018d00b8018d000000000007000000b901000000000000c000000000000046ab01000000000000c000000000000046a501000000000000c000000000000046f601000000000000c000000000000046ff01000000000000c000000000000046ad01000000000000c000000000000046aa01000000000000c0000000000000460700000060000000580000009000000058000000200000006800000030000000c000000001100800cccccccc5000000000000000ffffffff0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000001100800cccccccc4800000000000000005d889aeb1cc9119fe808002b1048601000000000000000000000000100000000000000b8470a005800000005000600010000000000000000000000c000000000000046cccccccc01100800cccccccc80000000000000000000000000000000000000000000000020ba09000000000060000000600000004d454f5704000000c001000000000000c0000000000000463b03000000000000c000000000000046000000003000000001000100673c70941333fd4687244d093988939d0200000000000000000000000000000000000000000000000100000001100800cccccccc480000000000000000000000b07e09000000000000000000f0890a0000000000000000000d000000000000000d000000730061006a00690061006400650076005f0078003800360000000800cccccccc01100800cccccccc10000000000000000000000000000000000000000000000001100800cccccccc5800000000000000c05e0a000000000000000000000000001b000000000000001b0000005c005c0000005c006a00690061006400650076005f007800000036005c007000750062006c00690063005c004100410041004100000000000100150001100800cccccccc200000000000000000000000905b09000200000001006c00c0df0800010000000700550000000000";
  516.  
  517.  
  518. req3  = "05000e03100000004800000003000000d016d01605af00000100000001000100b84a9f4d1c7dcf11861e0020af6e7c5700000000045d888aeb1cc9119fe808002b10486002000000";
  519. req4 = "05000003100000009a00000003000000820000000100000005000200000000000000000000000000000000000000000000000000000000009596952a8cda6d4ab23619bcaf2c2dea34eb8f000700000000000000070000005c005c004d0045004f00570000000000000000005c0048005c0048000100000058e98f00010000009596952a8cda6d4ab23619bcaf2c2dea01000000010000005c00";
  520.  
  521.  
  522.  
  523.  
  524.  
  525. #display(hex2raw(s:req));
  526. #exit(0);
  527.  
  528.  
  529.  
  530.  
  531.  
  532.  
  533. error1 = check(req:hex2raw(s:req1));
  534. error2 = check(req:hex2raw(s:req2)); 
  535.  
  536.  
  537. error3 = check(req:hex2raw(s:req3));
  538. error4 = check2(req:hex2raw(s:req4));
  539. error5 = NULL;
  540. null_session_failed = 0;
  541.  
  542. if(hexstr(error1) == "00000000")
  543.  {
  544.   req = req5();
  545.   if(req)
  546.       error5 = check4(req:req);
  547.   else null_session_failed = 1;    
  548.  }
  549.  
  550. #display(target, " error1=", hexstr(error1), "\n");
  551. #display(target, " error2=", hexstr(error2), "\n");
  552. #display(target, " error3=", hexstr(error3), "\n");
  553. #display(target, " error4=", hexstr(error4), "\n");
  554. #display(target, " error5=", hexstr(error5), "\n");
  555.  
  556.  
  557. #KK 10/01/2004 - check if os = Windows NT 4.0 reset error4
  558.     kb = get_kb_item("Host/OS/smb");
  559.     if ( kb ) 
  560.     {
  561.        if ("Windows 4.0" >< kb  ) { error4 = ""; }
  562.     }
  563. #KK 
  564.  
  565. if(hexstr(error1) == "00000000" &&
  566.    hexstr(error2) == "00000000" &&
  567.    (hexstr(error4) == "1c00001c" || hexstr(error4) == "0300011c") &&
  568.    isnull(error5)){
  569.      set_kb_item(name:"SMB/KB824146", value:TRUE);
  570.     exit(0); # HP-UX dced or WinXP SP2
  571.     }
  572.  
  573.  
  574. #error5 = NULL;
  575. #null_session_failed = 1;
  576.  
  577.  
  578. if(hexstr(error2) == hexstr(error1))
  579. {
  580.  vulnerable = 1;
  581.  if(hexstr(error1) == "05000780")exit(0); # DCOM disabled
  582.  if(hexstr(error1) == "00000000")
  583.  {
  584.   if( hexstr(error5) == "04000880" )vulnerable = 0;
  585.   else if( null_session_failed || hexstr(error5) == "05000780") { 
  586.    req6 = "0500000310000000c600000000000000ae000000000000000500010000000000000000005b4e65737375735d5b4e65737375735d000000004e4e4e4e4e4e4e4e4e4e4e4e4e4e4e4e680f0b001e000000000000001e0000005c005c00410000005c000000630024005c0074006500730074005f0032003000300033005f006e00650073007300750073002e00740078007400000000000000020000000200000001000000b8eb0b00010000000000000000000000000000000000000001000000010000000700";
  587.    error6 = check6(req:hex2raw(s:req6));
  588.    req7 = "0500000310000000c600000000000000ae000000000000000500010000000000000000005b4e65737375735d5b4e65737375735d0000000048484848484848484848484848484848680f0b001e000000000000001e0000005c005c003100370032002e00340032002e003100340032002e0031003400320000005c0074006500730074005f004e0065007300730075007300000000000000020000000200000001000000b8eb0b00010000000000000000000000000000000000000001000000010000000700";
  589.    error7 = check6(req:hex2raw(s:req7));
  590.    if(hexstr(error6) == "54010480" && hexstr(error7) == "04000880")vulnerable = 0;
  591.    #display(target, " error6=", hexstr(error6), "\n");
  592.    #display(target, " error7=", hexstr(error7), "\n");
  593.    if(hexstr(error6) == hexstr(error7) &&
  594.       hexstr(error6) == "05000780")exit(0); # Dcom disabled
  595.    
  596.   }
  597.  }
  598. }
  599.   
  600.  
  601. if(vulnerable)
  602. {
  603.  security_hole(port);
  604. }
  605. else {
  606.  set_kb_item(name:"SMB/KB824146", value:TRUE);
  607. }
  608.  
  609.