home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / netinfo_rpc.nasl < prev    next >
Encoding:
Text File  |  2005-01-14  |  4.5 KB  |  195 lines
  1. #
  2. # This script is (C) Tenable Network Security
  3. #
  4.  
  5. if(description)
  6. {
  7.  script_id(11899);
  8.  script_version("$Revision: 1.3 $");
  9.  
  10.  name["english"] = "nibindd is running";
  11.  
  12.  script_name(english:name["english"]);
  13.  
  14.  desc["english"] = "
  15. This script determines of the nibindd rpc service is running,
  16. in which case it connects to it to extract the list of NetInfo
  17. domains the remote host is serving
  18.  
  19. Solution : Filter incoming traffic to this port
  20. Risk factor : Medium";
  21.  
  22.  
  23.  script_description(english:desc["english"]);
  24.  
  25.  summary["english"] = "Connects to the remote nibindd RPC service";
  26.  
  27.  script_summary(english:summary["english"]);
  28.  
  29.  script_category(ACT_GATHER_INFO);
  30.  
  31.  script_copyright(english:"This script is Copyright (C) 2003 Tenable Network Security");
  32.  family["english"] = "RPC";
  33.  script_family(english:family["english"]);
  34.  script_dependencies("rpc_portmap.nasl");
  35.  exit(0);
  36. }
  37.  
  38. function get_rpc_port(protocol)
  40.  local_var    broken, req, soc, r, port;
  41.  local_var    a, b, c, d, p_a, p_b, p_c, p_d, pt_a, pt_b, pt_c, pt_d;
  42.  
  43.  
  44.  
  45.  a = rand() % 255;
  46.  b = rand() % 255;
  47.  c = rand() % 255;
  48.  d = rand() % 255;
  49.  
  50.  p_a = program / 16777216;     p_a = p_a % 256;
  51.  p_b = program / 65356;     p_b = p_b % 256;
  52.  p_c = program / 256;       p_c = p_c % 256;
  53.  p_d = program % 256;
  54.  
  55.  pt_a = protocol / 16777216; pt_a = pt_a % 256;
  56.  pt_b = protocol / 65535   ; pt_b = pt_b % 256;
  57.  pt_c = protocol / 256;    ; pt_c = pt_c % 256;
  58.  pt_d = protocol % 256;
  59.  
  60.  
  61.  req = raw_string(a,     b,     c,     d,     # XID
  62.            0x00, 0x00, 0x00, 0x00,    # Msg type: call
  63.           0x00, 0x00, 0x00, 0x02,    # RPC Version
  64.           0x00, 0x01, 0x86, 0xA0,    # Program
  65.           0x00, 0x00, 0x00, 0x02,    # Program version
  66.           0x00, 0x00, 0x00, 0x03,    # Procedure
  67.           0x00, 0x00, 0x00, 0x00,    # Credentials - flavor
  68.           0x00, 0x00, 0x00, 0x00,     # Credentials - length
  69.           0x00, 0x00, 0x00, 0x00,    # Verifier - Flavor
  70.           0x00, 0x00, 0x00, 0x00,    # Verifier - Length
  71.           
  72.           0x0b, 0xed, 0x48, 0xa1,    # Program
  73.           0xFF, 0xFF, 0xFF, 0xFF,    # Version (any)
  74.           pt_a, pt_b, pt_c, pt_d,    # Proto (udp)
  75.           0x00, 0x00, 0x00, 0x00    # Port
  76.            );
  77.     
  78.       
  79.   port = int(get_kb_item("rpc/portmap"));
  80.   if(port == 0)port = 111;
  81.        
  82.       
  83.  broken = get_kb_item(string("/tmp/rpc/noportmap/", port));
  84.  if(broken)return(0);
  85.  
  86.        
  87.  soc = open_sock_udp(port);
  88.  send(socket:soc, data:req);
  89.  r = recv(socket:soc, length:1024);
  90.  
  91.  close(soc);
  92.  if(!r)
  93.  {
  94.   set_kb_item(name:string("/tmp/rpc/noportmap/", port), value:TRUE);
  95.   return(0);
  96.  }
  97.  
  98.  if(strlen(r) < 28)
  99.   return(0);
  100.  else
  101.   {
  102.    p_d = ord(r[27]);
  103.    p_c = ord(r[26]);
  104.    p_b = ord(r[25]);
  105.    p_a = ord(r[24]);
  106.    port = p_a;
  107.    port = port * 256;
  108.    port = port +p_b; 
  109.    port = port * 256;
  110.    port = port + p_c; 
  111.    port = port * 256;
  112.    port = port + p_d;
  113.    return(port);
  114.   }
  115. }
  116.  
  117.  
  118.  
  119.  
  120.  
  121. function netinfo_recv(socket)
  122. {
  123.  local_var buf, len;
  124.  
  125.  buf = recv(socket:soc, length:4);
  126.  if(strlen(buf) < 4)return NULL;
  127.  
  128.  len = ord(buf[3]) + ord(buf[2])*256;
  129.  
  130.  buf += recv(socket:soc, length:len);
  131.  return buf;
  132. }
  133.  
  134.  
  135.  
  136.  
  137. rpcport = get_rpc_port(protocol:IPPROTO_TCP);
  138. if ( !rpcport ) exit(0);
  139. if ( !get_port_state(rpcport)) exit(0);
  140.  
  141. soc = open_sock_tcp(rpcport);
  142. if ( ! soc ) exit(0);
  143.  
  144. req = raw_string(0x80, 0x00, 0x00, 0x28, 0x11, 0xe0, 0x40, 0x95,
  145.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02,
  146.          0x0b, 0xed, 0x48, 0xa1, 0x00, 0x00, 0x00, 0x01,
  147.          0x00, 0x00, 0x00, 0x04, 0x00, 0x00, 0x00, 0x00,
  148.          0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00,
  149.          0x00, 0x00, 0x00, 0x00);
  150.  
  151. send(socket:soc, data:req);
  152. r = netinfo_recv(socket:soc);
  153. close(soc);
  154. if(strlen(r) < 35)exit(0);
  155.  
  156. num_domains = ord(r[35]);
  157. start = 38;
  158.  
  159. report = "";
  160. for ( i = 0 ; i < num_domains ; i ++ )
  161. {
  162.  len = ord(r[start]) * 256 + ord(r[start+1]);
  163.  start += 2;
  164.  report += '\n . ' + substr(r, start, start + len - 1);
  165.  start += len;
  166.  if(len % 4)start += 4 - (len % 4);
  167.  start += 2;
  168.  udp = ord(r[start]) * 256 + ord(r[start+1]);
  169.  start += 4;
  170.  tcp = ord(r[start]) * 256 + ord(r[start+1]);
  171.  report += ' (serving on tcp port ' + tcp + ' and udp port ' + udp + ')';
  172.  start += 4;
  173. }
  174.  
  175.  
  176. if ( strlen(report) )
  178.  report = "
  179. The remote host is running the nibindd RPC service, which implies that it
  180. is a NetInfo server (so it is probably running MacOS X or NeXT). It serves
  181. the following list of domains : 
  182. " + report +
  183. "
  184.  
  185. An attacker might use this information to gather the relevant
  186. maps from the remote system, like the password file or the configuration
  187. of the domain.
  188.  
  189. Solution : filter incoming traffic to this port. If the remote host is not a
  190. NetInfo server, kill the 'nibindd' service.
  191. Risk factor : Medium";
  192.  
  193.  security_warning(port:rpcport, data:report);
  194. }
  195.