####################################################################### Luigi Auriemma Application: Novell ZENworks Configuration Management http://www.novell.com/products/zenworks/configurationmanagement/ Versions: <= 11.0.0.1992 Platforms: Windows, Linux, NetWare Bug: directory traversal Exploitation: remote, versus server Date: probably found 20 Apr 2011 Author: Luigi Auriemma e-mail: aluigi@autistici.org web: aluigi.org ####################################################################### 1) Introduction 2) Bug 3) The Code 4) Fix ####################################################################### =============== 1) Introduction =============== ??? ####################################################################### ====== 2) Bug ====== novell-pbserv.exe is a service listening on port 998. With opcode 0x21 (PROXY_CMD_FTP_FILE) is possible to download any file in the disk where is installed the software via directory traversal attacks. ####################################################################### =========== 3) The Code =========== http://aluigi.org/poc/zenworks_3.dat nc SERVER 998 < zenworks_3.dat ####################################################################### ====== 4) Fix ====== ??? #######################################################################