Branch data Line data Source code
1 : : /**
2 : : * \file client/fwknop.c
3 : : *
4 : : * \brief The fwknop client.
5 : : */
6 : :
7 : : /* Fwknop is developed primarily by the people listed in the file 'AUTHORS'.
8 : : * Copyright (C) 2009-2015 fwknop developers and contributors. For a full
9 : : * list of contributors, see the file 'CREDITS'.
10 : : *
11 : : * License (GNU General Public License):
12 : : *
13 : : * This program is free software; you can redistribute it and/or
14 : : * modify it under the terms of the GNU General Public License
15 : : * as published by the Free Software Foundation; either version 2
16 : : * of the License, or (at your option) any later version.
17 : : *
18 : : * This program is distributed in the hope that it will be useful,
19 : : * but WITHOUT ANY WARRANTY; without even the implied warranty of
20 : : * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
21 : : * GNU General Public License for more details.
22 : : *
23 : : * You should have received a copy of the GNU General Public License
24 : : * along with this program; if not, write to the Free Software
25 : : * Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307
26 : : * USA
27 : : */
28 : :
29 : : #include "fwknop.h"
30 : : #include "config_init.h"
31 : : #include "spa_comm.h"
32 : : #include "utils.h"
33 : : #include "getpasswd.h"
34 : :
35 : : #include <sys/stat.h>
36 : : #include <fcntl.h>
37 : :
38 : :
39 : : /* prototypes
40 : : */
41 : : static int get_keys(fko_ctx_t ctx, fko_cli_options_t *options,
42 : : char *key, int *key_len, char *hmac_key, int *hmac_key_len);
43 : : static void errmsg(const char *msg, const int err);
44 : : static int prev_exec(fko_cli_options_t *options, int argc, char **argv);
45 : : static int get_save_file(char *args_save_file);
46 : : static int show_last_command(const char * const args_save_file);
47 : : static int save_args(int argc, char **argv, const char * const args_save_file);
48 : : static int run_last_args(fko_cli_options_t *options,
49 : : const char * const args_save_file);
50 : : static int set_message_type(fko_ctx_t ctx, fko_cli_options_t *options);
51 : : static int set_nat_access(fko_ctx_t ctx, fko_cli_options_t *options,
52 : : const char * const access_buf);
53 : : static int set_access_buf(fko_ctx_t ctx, fko_cli_options_t *options,
54 : : char *access_buf);
55 : : static int get_rand_port(fko_ctx_t ctx);
56 : : int resolve_ip_https(fko_cli_options_t *options);
57 : : int resolve_ip_http(fko_cli_options_t *options);
58 : : static void clean_exit(fko_ctx_t ctx, fko_cli_options_t *opts,
59 : : char *key, int *key_len, char *hmac_key, int *hmac_key_len,
60 : : unsigned int exit_status);
61 : : static void zero_buf_wrapper(char *buf, int len);
62 : : #if HAVE_LIBFIU
63 : : static int enable_fault_injections(fko_cli_options_t * const opts);
64 : : #endif
65 : :
66 : : #if AFL_FUZZING
67 : : /* These are used in AFL fuzzing mode so the fuzzing cycle is not
68 : : * interrupted by trying to read from stdin
69 : : */
70 : : #define AFL_ENC_KEY "aflenckey"
71 : : #define AFL_HMAC_KEY "aflhmackey"
72 : : #endif
73 : :
74 : : #define NAT_ACCESS_STR_TEMPLATE "%s,%d" /*!< Template for a nat access string ip,port with sscanf*/
75 : : #define HOSTNAME_BUFSIZE 64 /*!< Maximum size of a hostname string */
76 : : #define CTX_DUMP_BUFSIZE 4096 /*!< Maximum size allocated to a FKO context dump */
77 : :
78 : : int
79 : 2542 : main(int argc, char **argv)
80 : : {
81 : 2542 : fko_ctx_t ctx = NULL;
82 : 2542 : fko_ctx_t ctx2 = NULL;
83 : : int res;
84 : 2542 : char *spa_data=NULL, *version=NULL;
85 : 2542 : char access_buf[MAX_LINE_LEN] = {0};
86 : 2542 : char key[MAX_KEY_LEN+1] = {0};
87 : 2542 : char hmac_key[MAX_KEY_LEN+1] = {0};
88 : 2542 : int key_len = 0, orig_key_len = 0, hmac_key_len = 0, enc_mode;
89 : 2542 : int tmp_port = 0;
90 : : char dump_buf[CTX_DUMP_BUFSIZE];
91 : :
92 : : fko_cli_options_t options;
93 : :
94 : : memset(&options, 0x0, sizeof(fko_cli_options_t));
95 : :
96 : : /* Initialize the log module */
97 : 2542 : log_new();
98 : :
99 : : /* Handle command line
100 : : */
101 : 2542 : config_init(&options, argc, argv);
102 : :
103 : : #if HAVE_LIBFIU
104 : : /* Set any fault injection points early
105 : : */
106 [ - + ]: 2368 : if(! enable_fault_injections(&options))
107 : 0 : clean_exit(ctx, &options, key, &key_len, hmac_key,
108 : : &hmac_key_len, EXIT_FAILURE);
109 : : #endif
110 : :
111 : : /* Handle previous execution arguments if required
112 : : */
113 [ + + ]: 2368 : if(prev_exec(&options, argc, argv) != 1)
114 : 5 : clean_exit(ctx, &options, key, &key_len, hmac_key,
115 : : &hmac_key_len, EXIT_FAILURE);
116 : :
117 [ + + ]: 2362 : if(options.show_last_command)
118 : 1 : clean_exit(ctx, &options, key, &key_len, hmac_key,
119 : : &hmac_key_len, EXIT_SUCCESS);
120 : :
121 : : /* Intialize the context
122 : : */
123 : 2361 : res = fko_new(&ctx);
124 [ + + ]: 2361 : if(res != FKO_SUCCESS)
125 : : {
126 : 52 : errmsg("fko_new", res);
127 : 52 : clean_exit(ctx, &options, key, &key_len, hmac_key,
128 : : &hmac_key_len, EXIT_FAILURE);
129 : : }
130 : :
131 : : /* Display version info and exit.
132 : : */
133 [ + + ]: 2309 : if(options.version)
134 : : {
135 : 1 : fko_get_version(ctx, &version);
136 : :
137 : 1 : fprintf(stdout, "fwknop client %s, FKO protocol version %s\n",
138 : : MY_VERSION, version);
139 : :
140 : 1 : clean_exit(ctx, &options, key, &key_len,
141 : : hmac_key, &hmac_key_len, EXIT_SUCCESS);
142 : : }
143 : :
144 : : /* Set client timeout
145 : : */
146 [ + + ]: 2308 : if(options.fw_timeout >= 0)
147 : : {
148 : 26 : res = fko_set_spa_client_timeout(ctx, options.fw_timeout);
149 [ - + ]: 26 : if(res != FKO_SUCCESS)
150 : : {
151 : 0 : errmsg("fko_set_spa_client_timeout", res);
152 : 0 : clean_exit(ctx, &options, key, &key_len,
153 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
154 : : }
155 : : }
156 : :
157 : : /* Set the SPA packet message type based on command line options
158 : : */
159 : 2308 : res = set_message_type(ctx, &options);
160 [ - + ]: 2308 : if(res != FKO_SUCCESS)
161 : : {
162 : 0 : errmsg("fko_set_spa_message_type", res);
163 : 0 : clean_exit(ctx, &options, key, &key_len,
164 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
165 : : }
166 : :
167 : : /* Adjust the SPA timestamp if necessary
168 : : */
169 [ + + ]: 2308 : if(options.time_offset_plus > 0)
170 : : {
171 : 5 : res = fko_set_timestamp(ctx, options.time_offset_plus);
172 [ - + ]: 5 : if(res != FKO_SUCCESS)
173 : : {
174 : 0 : errmsg("fko_set_timestamp", res);
175 : 0 : clean_exit(ctx, &options, key, &key_len,
176 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
177 : : }
178 : : }
179 [ + + ]: 2308 : if(options.time_offset_minus > 0)
180 : : {
181 : 8 : res = fko_set_timestamp(ctx, -options.time_offset_minus);
182 [ - + ]: 8 : if(res != FKO_SUCCESS)
183 : : {
184 : 0 : errmsg("fko_set_timestamp", res);
185 : 0 : clean_exit(ctx, &options, key, &key_len,
186 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
187 : : }
188 : : }
189 : :
190 [ + + ]: 2308 : if(options.server_command[0] != 0x0)
191 : : {
192 : : /* Set the access message to a command that the server will
193 : : * execute
194 : : */
195 : : snprintf(access_buf, MAX_LINE_LEN, "%s%s%s",
196 : : options.allow_ip_str, ",", options.server_command);
197 : : }
198 : : else
199 : : {
200 : : /* Resolve the client's public facing IP address if requestesd.
201 : : * if this fails, consider it fatal.
202 : : */
203 [ + + ]: 2287 : if (options.resolve_ip_http_https)
204 : : {
205 [ + + ]: 32 : if(options.resolve_http_only)
206 : : {
207 [ + + ]: 6 : if(resolve_ip_http(&options) < 0)
208 : : {
209 : 2 : clean_exit(ctx, &options, key, &key_len,
210 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
211 : : }
212 : : }
213 : : else
214 : : {
215 : : /* Default to HTTPS */
216 [ + + ]: 26 : if(resolve_ip_https(&options) < 0)
217 : : {
218 : 8 : clean_exit(ctx, &options, key, &key_len,
219 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
220 : : }
221 : : }
222 : : }
223 : :
224 : : /* Set a message string by combining the allow IP and the
225 : : * port/protocol. The fwknopd server allows no port/protocol
226 : : * to be specified as well, so in this case append the string
227 : : * "none/0" to the allow IP.
228 : : */
229 [ + + ]: 2278 : if(set_access_buf(ctx, &options, access_buf) != 1)
230 : 2 : clean_exit(ctx, &options, key, &key_len,
231 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
232 : : }
233 : 2297 : res = fko_set_spa_message(ctx, access_buf);
234 [ + + ]: 2297 : if(res != FKO_SUCCESS)
235 : : {
236 : 4 : errmsg("fko_set_spa_message", res);
237 : 4 : clean_exit(ctx, &options, key, &key_len,
238 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
239 : : }
240 : :
241 : : /* Set NAT access string
242 : : */
243 [ + + ][ + + ]: 2293 : if (options.nat_local || options.nat_access_str[0] != 0x0)
244 : : {
245 : 45 : res = set_nat_access(ctx, &options, access_buf);
246 [ + + ]: 45 : if(res != FKO_SUCCESS)
247 : : {
248 : 3 : errmsg("fko_set_nat_access_str", res);
249 : 3 : clean_exit(ctx, &options, key, &key_len,
250 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
251 : : }
252 : : }
253 : :
254 : : /* Set username
255 : : */
256 [ + + ]: 2290 : if(options.spoof_user[0] != 0x0)
257 : : {
258 : 13 : res = fko_set_username(ctx, options.spoof_user);
259 [ + + ]: 13 : if(res != FKO_SUCCESS)
260 : : {
261 : 2 : errmsg("fko_set_username", res);
262 : 2 : clean_exit(ctx, &options, key, &key_len,
263 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
264 : : }
265 : : }
266 : :
267 : : /* Set up for using GPG if specified.
268 : : */
269 [ + + ]: 2288 : if(options.use_gpg)
270 : : {
271 : : /* If use-gpg-agent was not specified, then remove the GPG_AGENT_INFO
272 : : * ENV variable if it exists.
273 : : */
274 : : #ifndef WIN32
275 [ + + ]: 83 : if(!options.use_gpg_agent)
276 : 82 : unsetenv("GPG_AGENT_INFO");
277 : : #endif
278 : :
279 : 83 : res = fko_set_spa_encryption_type(ctx, FKO_ENCRYPTION_GPG);
280 [ - + ]: 83 : if(res != FKO_SUCCESS)
281 : : {
282 : 0 : errmsg("fko_set_spa_encryption_type", res);
283 : 0 : clean_exit(ctx, &options, key, &key_len,
284 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
285 : : }
286 : :
287 : : /* Set gpg path if necessary
288 : : */
289 [ + + ]: 83 : if(strlen(options.gpg_exe) > 0)
290 : : {
291 : 5 : res = fko_set_gpg_exe(ctx, options.gpg_exe);
292 [ + + ]: 5 : if(res != FKO_SUCCESS)
293 : : {
294 : 3 : errmsg("fko_set_gpg_exe", res);
295 : 3 : clean_exit(ctx, &options, key, &key_len,
296 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
297 : : }
298 : : }
299 : :
300 : : /* If a GPG home dir was specified, set it here. Note: Setting
301 : : * this has to occur before calling any of the other GPG-related
302 : : * functions.
303 : : */
304 [ + - ]: 80 : if(strlen(options.gpg_home_dir) > 0)
305 : : {
306 : 80 : res = fko_set_gpg_home_dir(ctx, options.gpg_home_dir);
307 [ + + ]: 80 : if(res != FKO_SUCCESS)
308 : : {
309 : 1 : errmsg("fko_set_gpg_home_dir", res);
310 : 1 : clean_exit(ctx, &options, key, &key_len,
311 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
312 : : }
313 : : }
314 : :
315 : 79 : res = fko_set_gpg_recipient(ctx, options.gpg_recipient_key);
316 [ + + ]: 79 : if(res != FKO_SUCCESS)
317 : : {
318 : 1 : errmsg("fko_set_gpg_recipient", res);
319 : :
320 [ + - ]: 1 : if(IS_GPG_ERROR(res))
321 : 1 : log_msg(LOG_VERBOSITY_ERROR, "GPG ERR: %s", fko_gpg_errstr(ctx));
322 : 1 : clean_exit(ctx, &options, key, &key_len,
323 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
324 : : }
325 : :
326 [ + - ]: 78 : if(strlen(options.gpg_signer_key) > 0)
327 : : {
328 : 78 : res = fko_set_gpg_signer(ctx, options.gpg_signer_key);
329 [ + + ]: 78 : if(res != FKO_SUCCESS)
330 : : {
331 : 1 : errmsg("fko_set_gpg_signer", res);
332 : :
333 [ + - ]: 1 : if(IS_GPG_ERROR(res))
334 : 1 : log_msg(LOG_VERBOSITY_ERROR, "GPG ERR: %s", fko_gpg_errstr(ctx));
335 : 1 : clean_exit(ctx, &options, key, &key_len,
336 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
337 : : }
338 : : }
339 : :
340 : 77 : res = fko_set_spa_encryption_mode(ctx, FKO_ENC_MODE_ASYMMETRIC);
341 [ - + ]: 77 : if(res != FKO_SUCCESS)
342 : : {
343 : 0 : errmsg("fko_set_spa_encryption_mode", res);
344 : 0 : clean_exit(ctx, &options, key, &key_len,
345 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
346 : : }
347 : : }
348 : :
349 [ + + ][ + - ]: 2282 : if(options.encryption_mode && !options.use_gpg)
350 : : {
351 : 21 : res = fko_set_spa_encryption_mode(ctx, options.encryption_mode);
352 [ - + ]: 21 : if(res != FKO_SUCCESS)
353 : : {
354 : 0 : errmsg("fko_set_spa_encryption_mode", res);
355 : 0 : clean_exit(ctx, &options, key, &key_len,
356 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
357 : : }
358 : : }
359 : :
360 : : /* Set Digest type.
361 : : */
362 [ + + ]: 2282 : if(options.digest_type)
363 : : {
364 : 42 : res = fko_set_spa_digest_type(ctx, options.digest_type);
365 [ - + ]: 42 : if(res != FKO_SUCCESS)
366 : : {
367 : 0 : errmsg("fko_set_spa_digest_type", res);
368 : 0 : clean_exit(ctx, &options, key, &key_len,
369 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
370 : : }
371 : : }
372 : :
373 : : /* Acquire the necessary encryption/hmac keys
374 : : */
375 [ + + ]: 2282 : if(get_keys(ctx, &options, key, &key_len, hmac_key, &hmac_key_len) != 1)
376 : 29 : clean_exit(ctx, &options, key, &key_len,
377 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
378 : :
379 : 2253 : orig_key_len = key_len;
380 : :
381 [ + + ]: 2253 : if(options.encryption_mode == FKO_ENC_MODE_CBC_LEGACY_IV
382 [ + + ]: 3 : && key_len > 16)
383 : : {
384 : 1 : log_msg(LOG_VERBOSITY_ERROR,
385 : : "WARNING: Encryption key in '-M legacy' mode must be <= 16 bytes");
386 : 1 : log_msg(LOG_VERBOSITY_ERROR,
387 : : "long - truncating before sending SPA packet. Upgrading remote");
388 : 1 : log_msg(LOG_VERBOSITY_ERROR,
389 : : "fwknopd is recommended.");
390 : 1 : key_len = 16;
391 : : }
392 : :
393 : : /* Finalize the context data (encrypt and encode the SPA data)
394 : : */
395 : 2253 : res = fko_spa_data_final(ctx, key, key_len, hmac_key, hmac_key_len);
396 [ + + ]: 2253 : if(res != FKO_SUCCESS)
397 : : {
398 : 99 : errmsg("fko_spa_data_final", res);
399 : :
400 [ - + ]: 99 : if(IS_GPG_ERROR(res))
401 : 0 : log_msg(LOG_VERBOSITY_ERROR, "GPG ERR: %s", fko_gpg_errstr(ctx));
402 : 99 : clean_exit(ctx, &options, key, &orig_key_len,
403 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
404 : : }
405 : :
406 : : /* Display the context data.
407 : : */
408 [ + + ]: 2154 : if (options.verbose || options.test)
409 : : {
410 : 2153 : res = dump_ctx_to_buffer(ctx, dump_buf, sizeof(dump_buf));
411 [ + - ]: 2153 : if (res == FKO_SUCCESS)
412 : 2153 : log_msg(LOG_VERBOSITY_NORMAL, "%s", dump_buf);
413 : : else
414 : 0 : log_msg(LOG_VERBOSITY_WARNING, "Unable to dump FKO context: %s",
415 : : fko_errstr(res));
416 : : }
417 : :
418 : : /* Save packet data payload if requested.
419 : : */
420 [ + + ]: 2154 : if (options.save_packet_file[0] != 0x0)
421 : 4 : write_spa_packet_data(ctx, &options);
422 : :
423 : : /* SPA packet random destination port handling
424 : : */
425 [ + + ]: 2154 : if (options.rand_port)
426 : : {
427 : 5 : tmp_port = get_rand_port(ctx);
428 [ - + ]: 5 : if(tmp_port < 0)
429 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
430 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
431 : 5 : options.spa_dst_port = tmp_port;
432 : : }
433 : :
434 : : /* If we are using one the "raw" modes (normally because
435 : : * we're going to spoof the SPA packet source IP), then select
436 : : * a random source port unless the source port is already set
437 : : */
438 [ + + ]: 2154 : if ((options.spa_proto == FKO_PROTO_TCP_RAW
439 : 2154 : || options.spa_proto == FKO_PROTO_UDP_RAW
440 [ + + ]: 2146 : || options.spa_proto == FKO_PROTO_ICMP)
441 [ + - ]: 12 : && !options.spa_src_port)
442 : : {
443 : 12 : tmp_port = get_rand_port(ctx);
444 [ - + ]: 12 : if(tmp_port < 0)
445 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
446 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
447 : 12 : options.spa_src_port = tmp_port;
448 : : }
449 : :
450 : 2154 : res = send_spa_packet(ctx, &options);
451 [ + + ]: 2154 : if(res < 0)
452 : : {
453 : 18 : log_msg(LOG_VERBOSITY_ERROR, "send_spa_packet: packet not sent.");
454 : 18 : clean_exit(ctx, &options, key, &orig_key_len,
455 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
456 : : }
457 : : else
458 : : {
459 : 2136 : log_msg(LOG_VERBOSITY_INFO, "send_spa_packet: bytes sent: %i", res);
460 : : }
461 : :
462 : : /* Run through a decode cycle in test mode (--DSS XXX: This test/decode
463 : : * portion should be moved elsewhere).
464 : : */
465 [ + + ]: 2136 : if (options.test)
466 : : {
467 : : /************** Decoding now *****************/
468 : :
469 : : /* Now we create a new context based on data from the first one.
470 : : */
471 : 109 : res = fko_get_spa_data(ctx, &spa_data);
472 [ - + ]: 109 : if(res != FKO_SUCCESS)
473 : : {
474 : 0 : errmsg("fko_get_spa_data", res);
475 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
476 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
477 : : }
478 : :
479 : : /* Pull the encryption mode.
480 : : */
481 : 109 : res = fko_get_spa_encryption_mode(ctx, &enc_mode);
482 [ - + ]: 109 : if(res != FKO_SUCCESS)
483 : : {
484 : 0 : errmsg("fko_get_spa_encryption_mode", res);
485 [ # # ]: 0 : if(fko_destroy(ctx) == FKO_ERROR_ZERO_OUT_DATA)
486 : 0 : log_msg(LOG_VERBOSITY_ERROR,
487 : : "[*] Could not zero out sensitive data buffer.");
488 : 0 : ctx = NULL;
489 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
490 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
491 : : }
492 : :
493 : : /* If gpg-home-dir is specified, we have to defer decrypting if we
494 : : * use the fko_new_with_data() function because we need to set the
495 : : * gpg home dir after the context is created, but before we attempt
496 : : * to decrypt the data. Therefore we either pass NULL for the
497 : : * decryption key to fko_new_with_data() or use fko_new() to create
498 : : * an empty context, populate it with the encrypted data, set our
499 : : * options, then decode it.
500 : : *
501 : : * This also verifies the HMAC and truncates it if there are no
502 : : * problems.
503 : : */
504 : 109 : res = fko_new_with_data(&ctx2, spa_data, NULL,
505 : : 0, enc_mode, hmac_key, hmac_key_len, options.hmac_type);
506 [ - + ]: 109 : if(res != FKO_SUCCESS)
507 : : {
508 : 0 : errmsg("fko_new_with_data", res);
509 [ # # ]: 0 : if(fko_destroy(ctx2) == FKO_ERROR_ZERO_OUT_DATA)
510 : 0 : log_msg(LOG_VERBOSITY_ERROR,
511 : : "[*] Could not zero out sensitive data buffer.");
512 : 0 : ctx2 = NULL;
513 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
514 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
515 : : }
516 : :
517 : 109 : res = fko_set_spa_encryption_mode(ctx2, enc_mode);
518 [ - + ]: 109 : if(res != FKO_SUCCESS)
519 : : {
520 : 0 : errmsg("fko_set_spa_encryption_mode", res);
521 [ # # ]: 0 : if(fko_destroy(ctx2) == FKO_ERROR_ZERO_OUT_DATA)
522 : 0 : log_msg(LOG_VERBOSITY_ERROR,
523 : : "[*] Could not zero out sensitive data buffer.");
524 : 0 : ctx2 = NULL;
525 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
526 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
527 : : }
528 : :
529 : : /* See if we are using gpg and if we need to set the GPG home dir.
530 : : */
531 [ + + ]: 109 : if(options.use_gpg)
532 : : {
533 [ + - ]: 5 : if(strlen(options.gpg_home_dir) > 0)
534 : : {
535 : 5 : res = fko_set_gpg_home_dir(ctx2, options.gpg_home_dir);
536 [ - + ]: 5 : if(res != FKO_SUCCESS)
537 : : {
538 : 0 : errmsg("fko_set_gpg_home_dir", res);
539 [ # # ]: 0 : if(fko_destroy(ctx2) == FKO_ERROR_ZERO_OUT_DATA)
540 : 0 : log_msg(LOG_VERBOSITY_ERROR,
541 : : "[*] Could not zero out sensitive data buffer.");
542 : 0 : ctx2 = NULL;
543 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
544 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
545 : : }
546 : : }
547 : : }
548 : :
549 : : /* Decrypt
550 : : */
551 : 109 : res = fko_decrypt_spa_data(ctx2, key, key_len);
552 : :
553 [ + + ]: 109 : if(res != FKO_SUCCESS)
554 : : {
555 : 1 : errmsg("fko_decrypt_spa_data", res);
556 : :
557 [ - + ]: 1 : if(IS_GPG_ERROR(res)) {
558 : : /* we most likely could not decrypt the gpg-encrypted data
559 : : * because we don't have access to the private key associated
560 : : * with the public key we used for encryption. Since this is
561 : : * expected, return 0 instead of an error condition (so calling
562 : : * programs like the fwknop test suite don't interpret this as
563 : : * an unrecoverable error), but print the error string for
564 : : * debugging purposes. The test suite does run a series of
565 : : * tests that use a single key pair for encryption and
566 : : * authentication, so decryption become possible for these
567 : : * tests. */
568 : 0 : log_msg(LOG_VERBOSITY_ERROR, "GPG ERR: %s\n%s", fko_gpg_errstr(ctx2),
569 : : "No access to recipient private key?");
570 : : }
571 [ - + ]: 1 : if(fko_destroy(ctx2) == FKO_ERROR_ZERO_OUT_DATA)
572 : 0 : log_msg(LOG_VERBOSITY_ERROR,
573 : : "[*] Could not zero out sensitive data buffer.");
574 : 1 : ctx2 = NULL;
575 : 1 : clean_exit(ctx, &options, key, &orig_key_len,
576 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
577 : : }
578 : : /* Only dump out the SPA data after the test in verbose mode */
579 [ + + ]: 108 : if (options.verbose) {
580 : 96 : res = dump_ctx_to_buffer(ctx2, dump_buf, sizeof(dump_buf));
581 [ + - ]: 96 : if (res == FKO_SUCCESS)
582 : 96 : log_msg(LOG_VERBOSITY_NORMAL, "\nDump of the Decoded Data\n%s", dump_buf);
583 : : else
584 : 0 : log_msg(LOG_VERBOSITY_WARNING, "Unable to dump FKO context: %s", fko_errstr(res));
585 : : }
586 : :
587 [ - + ]: 108 : if(fko_destroy(ctx2) == FKO_ERROR_ZERO_OUT_DATA)
588 : 0 : log_msg(LOG_VERBOSITY_ERROR,
589 : : "[*] Could not zero out sensitive data buffer.");
590 : 108 : ctx2 = NULL;
591 : : }
592 : :
593 : 2135 : clean_exit(ctx, &options, key, &orig_key_len,
594 : : hmac_key, &hmac_key_len, EXIT_SUCCESS);
595 : :
596 : : return EXIT_SUCCESS; /* quiet down a gcc warning */
597 : : }
598 : :
599 : : void
600 : 2368 : free_configs(fko_cli_options_t *opts)
601 : : {
602 [ + + ]: 2368 : if (opts->resolve_url != NULL)
603 : 22 : free(opts->resolve_url);
604 [ + + ]: 2368 : if (opts->wget_bin != NULL)
605 : 5 : free(opts->wget_bin);
606 : 2368 : zero_buf_wrapper(opts->key, MAX_KEY_LEN+1);
607 : 2368 : zero_buf_wrapper(opts->key_base64, MAX_B64_KEY_LEN+1);
608 : 2368 : zero_buf_wrapper(opts->hmac_key, MAX_KEY_LEN+1);
609 : 2368 : zero_buf_wrapper(opts->hmac_key_base64, MAX_B64_KEY_LEN+1);
610 : 2368 : zero_buf_wrapper(opts->gpg_recipient_key, MAX_GPG_KEY_ID);
611 : 2368 : zero_buf_wrapper(opts->gpg_signer_key, MAX_GPG_KEY_ID);
612 : 2368 : zero_buf_wrapper(opts->gpg_home_dir, MAX_PATH_LEN);
613 : 2368 : zero_buf_wrapper(opts->server_command, MAX_LINE_LEN);
614 : 2368 : }
615 : :
616 : : static int
617 : 25 : get_rand_port(fko_ctx_t ctx)
618 : : {
619 : 25 : char *rand_val = NULL;
620 : 25 : char port_str[MAX_PORT_STR_LEN+1] = {0};
621 : : int tmpint, is_err;
622 : 25 : int port = 0;
623 : 25 : int res = 0;
624 : :
625 : 25 : res = fko_get_rand_value(ctx, &rand_val);
626 [ - + ]: 25 : if(res != FKO_SUCCESS)
627 : : {
628 : 0 : errmsg("get_rand_port(), fko_get_rand_value", res);
629 : 0 : return -1;
630 : : }
631 : :
632 : 25 : strlcpy(port_str, rand_val, sizeof(port_str));
633 : :
634 : 25 : tmpint = strtol_wrapper(port_str, 0, -1, NO_EXIT_UPON_ERR, &is_err);
635 [ - + ]: 25 : if(is_err != FKO_SUCCESS)
636 : : {
637 : 0 : log_msg(LOG_VERBOSITY_ERROR,
638 : : "[*] get_rand_port(), could not convert rand_val str '%s', to integer",
639 : : rand_val);
640 : 0 : return -1;
641 : : }
642 : :
643 : : /* Convert to a random value between 1024 and 65535
644 : : */
645 : 25 : port = (MIN_HIGH_PORT + (tmpint % (MAX_PORT - MIN_HIGH_PORT)));
646 : :
647 : : /* Force libfko to calculate a new random value since we don't want to
648 : : * give anyone a hint (via the port value) about the contents of the
649 : : * encrypted SPA data.
650 : : */
651 : 25 : res = fko_set_rand_value(ctx, NULL);
652 [ - + ]: 25 : if(res != FKO_SUCCESS)
653 : : {
654 : 0 : errmsg("get_rand_port(), fko_get_rand_value", res);
655 : 0 : return -1;
656 : : }
657 : :
658 : : return port;
659 : : }
660 : :
661 : : /* Set access buf
662 : : */
663 : : static int
664 : 2278 : set_access_buf(fko_ctx_t ctx, fko_cli_options_t *options, char *access_buf)
665 : : {
666 : 2278 : char *ndx = NULL, tmp_nat_port[MAX_PORT_STR_LEN+1] = {0};
667 : 2278 : int nat_port = 0;
668 : :
669 [ + + ]: 2278 : if(options->access_str[0] != 0x0)
670 : : {
671 [ + + ]: 2277 : if (options->nat_rand_port)
672 : : {
673 : 8 : nat_port = get_rand_port(ctx);
674 : 8 : options->nat_port = nat_port;
675 : : }
676 [ + + ]: 2269 : else if (options->nat_port)
677 : 10 : nat_port = options->nat_port;
678 : :
679 [ + + ]: 2277 : if(nat_port > 0 && nat_port <= MAX_PORT)
680 : : {
681 : : /* Replace the access string port with the NAT port since the
682 : : * NAT port is manually specified (--nat-port) or derived from
683 : : * random data (--nat-rand-port). In the NAT modes, the fwknopd
684 : : * server uses the port in the access string as the one to NAT,
685 : : * and access is granted via this translated port to whatever is
686 : : * specified with --nat-access <IP:port> (so this service is the
687 : : * utlimate target of the incoming connection after the SPA
688 : : * packet is sent).
689 : : */
690 : 18 : ndx = strchr(options->access_str, '/');
691 [ + + ]: 18 : if(ndx == NULL)
692 : : {
693 : 1 : log_msg(LOG_VERBOSITY_ERROR, "[*] Expecting <proto>/<port> for -A arg.");
694 : 1 : return 0;
695 : : }
696 : : snprintf(access_buf, MAX_LINE_LEN, "%s%s",
697 : 17 : options->allow_ip_str, ",");
698 : :
699 : : /* This adds in the protocol + '/' char
700 : : */
701 : 17 : strlcat(access_buf, options->access_str,
702 : 17 : strlen(access_buf) + (ndx - options->access_str) + 2);
703 : :
704 [ + + ]: 17 : if (strchr(ndx+1, '/') != NULL)
705 : : {
706 : 1 : log_msg(LOG_VERBOSITY_ERROR,
707 : : "[*] NAT for multiple ports/protocols not yet supported.");
708 : 1 : return 0;
709 : : }
710 : :
711 : : /* Now add the NAT port
712 : : */
713 : : snprintf(tmp_nat_port, MAX_PORT_STR_LEN+1, "%d", nat_port);
714 : 16 : strlcat(access_buf, tmp_nat_port,
715 : 16 : strlen(access_buf)+MAX_PORT_STR_LEN+1);
716 : : }
717 : : else
718 : : {
719 : : snprintf(access_buf, MAX_LINE_LEN, "%s%s%s",
720 : 2259 : options->allow_ip_str, ",", options->access_str);
721 : : }
722 : : }
723 : : else
724 : : {
725 : : snprintf(access_buf, MAX_LINE_LEN, "%s%s%s",
726 : 1 : options->allow_ip_str, ",", "none/0");
727 : : }
728 : : return 1;
729 : : }
730 : :
731 : : /* Set NAT access string
732 : : */
733 : : static int
734 : 45 : set_nat_access(fko_ctx_t ctx, fko_cli_options_t *options, const char * const access_buf)
735 : : {
736 : 45 : char nat_access_buf[MAX_LINE_LEN] = {0};
737 : 45 : char tmp_nat_port[MAX_LINE_LEN] = {0};
738 : 45 : char tmp_access_port[MAX_PORT_STR_LEN+1] = {0}, *ndx = NULL;
739 : 45 : int access_port = 0, i = 0, is_err = 0, hostlen = 0;
740 : : struct addrinfo hints;
741 : :
742 : : memset(&hints, 0 , sizeof(hints));
743 : :
744 : 45 : ndx = strchr(options->access_str, '/');
745 [ - + ]: 45 : if(ndx == NULL)
746 : : {
747 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] Expecting <proto>/<port> for -A arg.");
748 : 0 : return FKO_ERROR_INVALID_DATA;
749 : : }
750 : 45 : ndx++;
751 : :
752 [ + + ][ + - ]: 138 : while(*ndx != '\0' && isdigit(*ndx) && i < MAX_PORT_STR_LEN)
[ + - ]
753 : : {
754 : 93 : tmp_access_port[i] = *ndx;
755 : 93 : ndx++;
756 : 93 : i++;
757 : : }
758 : 45 : tmp_access_port[i] = '\0';
759 : :
760 : 45 : access_port = strtol_wrapper(tmp_access_port, 1,
761 : : MAX_PORT, NO_EXIT_UPON_ERR, &is_err);
762 [ + + ]: 45 : if(is_err != FKO_SUCCESS)
763 : : {
764 : 1 : log_msg(LOG_VERBOSITY_ERROR, "[*] Invalid port value '%d' for -A arg.",
765 : : access_port);
766 : 1 : return FKO_ERROR_INVALID_DATA;
767 : : }
768 : :
769 [ + + ][ + - ]: 44 : if (options->nat_local && options->nat_access_str[0] == 0x0)
770 : : {
771 : : snprintf(nat_access_buf, MAX_LINE_LEN, NAT_ACCESS_STR_TEMPLATE,
772 : 13 : options->spa_server_str, access_port);
773 : : }
774 : :
775 [ + + ][ + - ]: 44 : if (nat_access_buf[0] == 0x0 && options->nat_access_str[0] != 0x0)
776 : : {
777 : : /* Force the ':' (if any) to a ','
778 : : */
779 : 31 : ndx = strchr(options->nat_access_str, ':');
780 [ + + ]: 31 : if (ndx != NULL)
781 : 27 : *ndx = ',';
782 : :
783 : 31 : ndx = strchr(options->nat_access_str, ',');
784 [ + + ]: 31 : if (ndx != NULL)
785 : : {
786 : 27 : hostlen = ndx - options->nat_access_str; //len of host, up til either comma or null
787 : 27 : *ndx = 0;
788 : :
789 : 27 : ndx++;
790 : 27 : i = 0;
791 [ + + ]: 101 : while(*ndx != '\0')
792 : : //if it goes over max length, mark as invalid
793 : :
794 : : {
795 : 75 : tmp_nat_port[i] = *ndx;
796 [ + - ][ + + ]: 75 : if ((i > MAX_PORT_STR_LEN) || (!isdigit(*ndx)))
797 : : {
798 : 1 : log_msg(LOG_VERBOSITY_ERROR, "[*] Invalid port value in -N arg.");
799 : 1 : return FKO_ERROR_INVALID_DATA;
800 : : }
801 : 74 : ndx++;
802 : 74 : i++;
803 : : }
804 : 26 : tmp_nat_port[i] = '\0';
805 : 26 : access_port = strtol_wrapper(tmp_nat_port, 1,
806 : : MAX_PORT, NO_EXIT_UPON_ERR, &is_err);
807 [ - + ]: 26 : if (is_err != FKO_SUCCESS)
808 : : {
809 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] Invalid port value in -N arg.");
810 : 0 : return FKO_ERROR_INVALID_DATA;
811 : : }
812 : : } else {
813 : 4 : hostlen = strlen(options->nat_access_str);
814 : : }
815 : :
816 [ - + ]: 30 : if ((access_port < 1) | (access_port > 65535))
817 : : {
818 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] Invalid port value.");
819 : 0 : return FKO_ERROR_INVALID_DATA;
820 : : }
821 : :
822 : :
823 [ + + ][ + + ]: 30 : if (is_valid_ipv4_addr(options->nat_access_str, hostlen) || is_valid_hostname(options->nat_access_str, hostlen))
824 : : {
825 : : snprintf(nat_access_buf, MAX_LINE_LEN, NAT_ACCESS_STR_TEMPLATE,
826 : 29 : options->nat_access_str, access_port);
827 : : }
828 : : else
829 : : {
830 : 1 : log_msg(LOG_VERBOSITY_ERROR, "[*] Invalid NAT destination '%s' for -N arg.",
831 : : options->nat_access_str);
832 : 1 : return FKO_ERROR_INVALID_DATA;
833 : : }
834 : : }
835 : :
836 [ + + ]: 42 : if(options->nat_rand_port)
837 : : {
838 : : /* Must print to stdout what the random port is since
839 : : * if not then the user will not which port will be
840 : : * opened/NAT'd on the fwknopd side
841 : : */
842 : 8 : log_msg(LOG_VERBOSITY_NORMAL,
843 : : "[+] Randomly assigned port '%d' on: '%s' will grant access to: '%s'",
844 : : options->nat_port, access_buf, nat_access_buf);
845 : : }
846 : :
847 : 42 : return fko_set_spa_nat_access(ctx, nat_access_buf);
848 : : }
849 : :
850 : : static int
851 : 2368 : prev_exec(fko_cli_options_t *options, int argc, char **argv)
852 : : {
853 : 2368 : char args_save_file[MAX_PATH_LEN] = {0};
854 : 2368 : int res = 1;
855 : :
856 [ + + ]: 2368 : if(options->args_save_file[0] != 0x0)
857 : : {
858 : 8 : strlcpy(args_save_file, options->args_save_file, sizeof(args_save_file));
859 : : }
860 : : else
861 : : {
862 [ - + ]: 2360 : if(options->no_home_dir)
863 : : {
864 : 0 : log_msg(LOG_VERBOSITY_ERROR,
865 : : "In --no-home-dir mode must set the args save file path with -E");
866 : 0 : return 0;
867 : : }
868 : : else
869 : : {
870 [ + + ]: 2360 : if (get_save_file(args_save_file) != 1)
871 : : {
872 : 1 : log_msg(LOG_VERBOSITY_ERROR, "Unable to determine args save file");
873 : 1 : return 0;
874 : : }
875 : : }
876 : : }
877 : :
878 [ + + ]: 2367 : if(options->run_last_command)
879 : 4 : res = run_last_args(options, args_save_file);
880 [ + + ]: 2363 : else if(options->show_last_command)
881 : 3 : res = show_last_command(args_save_file);
882 [ + + ]: 2360 : else if (!options->no_save_args)
883 : 510 : res = save_args(argc, argv, args_save_file);
884 : :
885 : 2366 : return res;
886 : : }
887 : :
888 : : /* Show the last command that was executed
889 : : */
890 : : static int
891 : 3 : show_last_command(const char * const args_save_file)
892 : : {
893 : 3 : char args_str[MAX_LINE_LEN] = {0};
894 : 3 : FILE *args_file_ptr = NULL;
895 : :
896 [ + - ]: 3 : if(verify_file_perms_ownership(args_save_file) != 1)
897 : : return 0;
898 : :
899 [ + + ]: 3 : if ((args_file_ptr = fopen(args_save_file, "r")) == NULL) {
900 : 2 : log_msg(LOG_VERBOSITY_ERROR, "Could not open args file: %s",
901 : : args_save_file);
902 : 2 : return 0;
903 : : }
904 : :
905 [ + - ]: 1 : if ((fgets(args_str, MAX_LINE_LEN, args_file_ptr)) != NULL) {
906 : 1 : log_msg(LOG_VERBOSITY_NORMAL,
907 : : "Last fwknop client command line: %s", args_str);
908 : : } else {
909 : 0 : log_msg(LOG_VERBOSITY_NORMAL,
910 : : "Could not read line from file: %s", args_save_file);
911 : 0 : fclose(args_file_ptr);
912 : 0 : return 0;
913 : : }
914 : 1 : fclose(args_file_ptr);
915 : :
916 : 1 : return 1;
917 : : }
918 : :
919 : : /* Get the command line arguments from the previous invocation
920 : : */
921 : : static int
922 : 4 : run_last_args(fko_cli_options_t *options, const char * const args_save_file)
923 : : {
924 : 4 : FILE *args_file_ptr = NULL;
925 : 4 : int argc_new = 0, args_broken = 0;
926 : 4 : char args_str[MAX_ARGS_LINE_LEN] = {0};
927 : : char *argv_new[MAX_CMDLINE_ARGS]; /* should be way more than enough */
928 : :
929 : : memset(argv_new, 0x0, sizeof(argv_new));
930 : :
931 [ + - ]: 4 : if(verify_file_perms_ownership(args_save_file) != 1)
932 : : return 0;
933 : :
934 [ - + ]: 4 : if ((args_file_ptr = fopen(args_save_file, "r")) == NULL)
935 : : {
936 : 0 : log_msg(LOG_VERBOSITY_ERROR, "Could not open args file: %s",
937 : : args_save_file);
938 : 0 : return 0;
939 : : }
940 [ + + ]: 4 : if ((fgets(args_str, MAX_LINE_LEN, args_file_ptr)) != NULL)
941 : : {
942 : 3 : args_str[MAX_LINE_LEN-1] = '\0';
943 [ + + ]: 3 : if (options->verbose)
944 : 2 : log_msg(LOG_VERBOSITY_NORMAL, "Executing: %s", args_str);
945 [ + + ]: 3 : if(strtoargv(args_str, argv_new, &argc_new) != 1)
946 : : {
947 : 1 : args_broken = 1;
948 : : }
949 : : }
950 : 4 : fclose(args_file_ptr);
951 : :
952 [ + + ]: 4 : if(args_broken)
953 : : return 0;
954 : :
955 : : /* Reset the options index so we can run through them again.
956 : : */
957 : 3 : optind = 0;
958 : :
959 : 3 : config_init(options, argc_new, argv_new);
960 : :
961 : : /* Since we passed in our own copies, free up malloc'd memory
962 : : */
963 : 2 : free_argv(argv_new, &argc_new);
964 : :
965 : 2 : return 1;
966 : : }
967 : :
968 : : static int
969 : 2360 : get_save_file(char *args_save_file)
970 : : {
971 : 2360 : char *homedir = NULL;
972 : 2360 : int rv = 0;
973 : :
974 : : #ifdef WIN32
975 : : homedir = getenv("USERPROFILE");
976 : : #else
977 : 2360 : homedir = getenv("HOME");
978 : : #endif
979 [ + + ]: 2360 : if (homedir != NULL) {
980 : : snprintf(args_save_file, MAX_PATH_LEN, "%s%c%s",
981 : : homedir, PATH_SEP, ".fwknop.run");
982 : 2359 : rv = 1;
983 : : }
984 : :
985 : 2360 : return rv;
986 : : }
987 : :
988 : : /* Save our command line arguments
989 : : */
990 : : static int
991 : 510 : save_args(int argc, char **argv, const char * const args_save_file)
992 : : {
993 : 510 : char args_str[MAX_LINE_LEN] = {0};
994 : 510 : int i = 0, args_str_len = 0, args_file_fd = -1;
995 : :
996 : 510 : args_file_fd = open(args_save_file, O_WRONLY|O_CREAT|O_TRUNC, S_IRUSR|S_IWUSR);
997 [ + - ]: 510 : if (args_file_fd == -1) {
998 : 0 : log_msg(LOG_VERBOSITY_ERROR, "Could not open args file: %s",
999 : : args_save_file);
1000 : 0 : return 0;
1001 : : }
1002 : : else {
1003 [ + + ]: 7096 : for (i=0; i < argc; i++) {
1004 : 6587 : args_str_len += strlen(argv[i]);
1005 [ + + ]: 6587 : if (args_str_len >= MAX_PATH_LEN) {
1006 : 1 : log_msg(LOG_VERBOSITY_ERROR, "argument string too long, exiting.");
1007 : 1 : close(args_file_fd);
1008 : 1 : return 0;
1009 : : }
1010 : 6586 : strlcat(args_str, argv[i], sizeof(args_str));
1011 : 6586 : strlcat(args_str, " ", sizeof(args_str));
1012 : : }
1013 : 509 : strlcat(args_str, "\n", sizeof(args_str));
1014 [ - + ]: 509 : if(write(args_file_fd, args_str, strlen(args_str))
1015 : 509 : != strlen(args_str)) {
1016 : 0 : log_msg(LOG_VERBOSITY_WARNING,
1017 : : "warning, did not write expected number of bytes to args save file");
1018 : : }
1019 : 509 : close(args_file_fd);
1020 : : }
1021 : 509 : return 1;
1022 : : }
1023 : :
1024 : : /* Set the SPA packet message type
1025 : : */
1026 : : static int
1027 : 2308 : set_message_type(fko_ctx_t ctx, fko_cli_options_t *options)
1028 : : {
1029 : : short message_type;
1030 : :
1031 [ + + ]: 2308 : if(options->server_command[0] != 0x0)
1032 : : {
1033 : : message_type = FKO_COMMAND_MSG;
1034 : : }
1035 [ + + ]: 2287 : else if(options->nat_local)
1036 : : {
1037 [ + + ]: 13 : if (options->fw_timeout >= 0)
1038 : : message_type = FKO_CLIENT_TIMEOUT_LOCAL_NAT_ACCESS_MSG;
1039 : : else
1040 : 10 : message_type = FKO_LOCAL_NAT_ACCESS_MSG;
1041 : : }
1042 [ + + ]: 2274 : else if(options->nat_access_str[0] != 0x0)
1043 : : {
1044 [ + + ]: 36 : if (options->fw_timeout >= 0)
1045 : : message_type = FKO_CLIENT_TIMEOUT_NAT_ACCESS_MSG;
1046 : : else
1047 : 34 : message_type = FKO_NAT_ACCESS_MSG;
1048 : : }
1049 : : else
1050 : : {
1051 [ + + ]: 2238 : if (options->fw_timeout >= 0)
1052 : : message_type = FKO_CLIENT_TIMEOUT_ACCESS_MSG;
1053 : : else
1054 : 2217 : message_type = FKO_ACCESS_MSG;
1055 : : }
1056 : :
1057 : 2308 : return fko_set_spa_message_type(ctx, message_type);
1058 : : }
1059 : :
1060 : : /* Prompt for and receive a user password.
1061 : : */
1062 : : static int
1063 : 2282 : get_keys(fko_ctx_t ctx, fko_cli_options_t *options,
1064 : : char *key, int *key_len, char *hmac_key, int *hmac_key_len)
1065 : : {
1066 : : #if !AFL_FUZZING
1067 : 2282 : char *key_tmp = NULL, *hmac_key_tmp = NULL;
1068 : : #endif
1069 : 2282 : int use_hmac = 0, res = 0;
1070 : :
1071 : : memset(key, 0x0, MAX_KEY_LEN+1);
1072 : : memset(hmac_key, 0x0, MAX_KEY_LEN+1);
1073 : :
1074 [ + + ]: 2282 : if(options->have_key)
1075 : : {
1076 : 102 : strlcpy(key, options->key, MAX_KEY_LEN+1);
1077 : 102 : *key_len = strlen(key);
1078 : : }
1079 [ + + ]: 2180 : else if(options->have_base64_key)
1080 : : {
1081 : 682 : *key_len = fko_base64_decode(options->key_base64,
1082 : 682 : (unsigned char *) options->key);
1083 [ + + ]: 682 : if(*key_len > 0 && *key_len < MAX_KEY_LEN)
1084 : : {
1085 : 681 : memcpy(key, options->key, *key_len);
1086 : : }
1087 : : else
1088 : : {
1089 : 1 : log_msg(LOG_VERBOSITY_ERROR, "[*] Invalid key length: '%d', must be in [1,%d]",
1090 : : *key_len, MAX_KEY_LEN);
1091 : 1 : return 0;
1092 : : }
1093 : : }
1094 : : else
1095 : : {
1096 : : /* If --get-key file was specified grab the key/password from it.
1097 : : */
1098 [ + + ]: 1498 : if(options->get_key_file[0] != 0x0)
1099 : : {
1100 [ + + ]: 1471 : if(get_key_file(key, key_len, options->get_key_file, ctx, options) != 1)
1101 : : {
1102 : : return 0;
1103 : : }
1104 : : }
1105 [ + + ]: 27 : else if(options->use_gpg)
1106 : : {
1107 [ - + ]: 18 : if(options->use_gpg_agent)
1108 : 0 : log_msg(LOG_VERBOSITY_NORMAL,
1109 : : "[+] GPG mode set, signing passphrase acquired via gpg-agent");
1110 [ + + ]: 18 : else if(options->gpg_no_signing_pw)
1111 : 17 : log_msg(LOG_VERBOSITY_NORMAL,
1112 : : "[+] GPG mode set, signing passphrase not required");
1113 [ + - ]: 1 : else if(strlen(options->gpg_signer_key))
1114 : : {
1115 : : #if AFL_FUZZING
1116 : : strlcpy(key, AFL_ENC_KEY, MAX_KEY_LEN+1);
1117 : : #else
1118 : 1 : key_tmp = getpasswd("Enter passphrase for signing: ", options->input_fd);
1119 [ - + ]: 1 : if(key_tmp == NULL)
1120 : : {
1121 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] getpasswd() key error.");
1122 : 0 : return 0;
1123 : : }
1124 : 1 : strlcpy(key, key_tmp, MAX_KEY_LEN+1);
1125 : : #endif
1126 : 1 : *key_len = strlen(key);
1127 : : }
1128 : : }
1129 : : else
1130 : : {
1131 : : #if AFL_FUZZING
1132 : : strlcpy(key, AFL_ENC_KEY, MAX_KEY_LEN+1);
1133 : : #else
1134 : 9 : key_tmp = getpasswd("Enter encryption key: ", options->input_fd);
1135 [ + + ]: 9 : if(key_tmp == NULL)
1136 : : {
1137 : 1 : log_msg(LOG_VERBOSITY_ERROR, "[*] getpasswd() key error.");
1138 : 1 : return 0;
1139 : : }
1140 : 8 : strlcpy(key, key_tmp, MAX_KEY_LEN+1);
1141 : : #endif
1142 : 8 : *key_len = strlen(key);
1143 : : }
1144 : : }
1145 : :
1146 [ + + ]: 2257 : if(options->have_hmac_key)
1147 : : {
1148 : 37 : strlcpy(hmac_key, options->hmac_key, MAX_KEY_LEN+1);
1149 : 37 : *hmac_key_len = strlen(hmac_key);
1150 : 37 : use_hmac = 1;
1151 : : }
1152 [ + + ]: 2220 : else if(options->have_hmac_base64_key)
1153 : : {
1154 : 692 : *hmac_key_len = fko_base64_decode(options->hmac_key_base64,
1155 : 692 : (unsigned char *) options->hmac_key);
1156 [ + + ]: 692 : if(*hmac_key_len > MAX_KEY_LEN || *hmac_key_len < 0)
1157 : : {
1158 : 2 : log_msg(LOG_VERBOSITY_ERROR,
1159 : : "[*] Invalid decoded key length: '%d', must be in [0,%d]",
1160 : : *hmac_key_len, MAX_KEY_LEN);
1161 : 2 : return 0;
1162 : : }
1163 : 690 : memcpy(hmac_key, options->hmac_key, *hmac_key_len);
1164 : 690 : use_hmac = 1;
1165 : : }
1166 [ + + ]: 1528 : else if (options->use_hmac)
1167 : : {
1168 : : /* If --get-key file was specified grab the key/password from it.
1169 : : */
1170 [ + + ]: 5 : if(options->get_hmac_key_file[0] != 0x0)
1171 : : {
1172 [ + + ]: 2 : if(get_key_file(hmac_key, hmac_key_len,
1173 : 2 : options->get_hmac_key_file, ctx, options) != 1)
1174 : : {
1175 : : return 0;
1176 : : }
1177 : : use_hmac = 1;
1178 : : }
1179 : : else
1180 : : {
1181 : : #if AFL_FUZZING
1182 : : strlcpy(hmac_key, AFL_HMAC_KEY, MAX_KEY_LEN+1);
1183 : : #else
1184 : 3 : hmac_key_tmp = getpasswd("Enter HMAC key: ", options->input_fd);
1185 [ - + ]: 3 : if(hmac_key_tmp == NULL)
1186 : : {
1187 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] getpasswd() key error.");
1188 : 0 : return 0;
1189 : : }
1190 : 3 : strlcpy(hmac_key, hmac_key_tmp, MAX_KEY_LEN+1);
1191 : : #endif
1192 : 3 : *hmac_key_len = strlen(hmac_key);
1193 : 3 : use_hmac = 1;
1194 : : }
1195 : : }
1196 : :
1197 [ + + ]: 2254 : if (use_hmac)
1198 : : {
1199 [ - + ]: 731 : if(*hmac_key_len < 0 || *hmac_key_len > MAX_KEY_LEN)
1200 : : {
1201 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] Invalid HMAC key length: '%d', must be in [0,%d]",
1202 : : *hmac_key_len, MAX_KEY_LEN);
1203 : 0 : return 0;
1204 : : }
1205 : :
1206 : : /* Make sure the same key is not used for both encryption and the HMAC
1207 : : */
1208 [ + + ]: 731 : if(*hmac_key_len == *key_len)
1209 : : {
1210 [ + + ]: 34 : if(memcmp(hmac_key, key, *key_len) == 0)
1211 : : {
1212 : 1 : log_msg(LOG_VERBOSITY_ERROR,
1213 : : "[*] The encryption passphrase and HMAC key should not be identical, no SPA packet sent. Exiting.");
1214 : 1 : return 0;
1215 : : }
1216 : : }
1217 : :
1218 : 730 : res = fko_set_spa_hmac_type(ctx, options->hmac_type);
1219 [ - + ]: 730 : if(res != FKO_SUCCESS)
1220 : : {
1221 : 0 : errmsg("fko_set_spa_hmac_type", res);
1222 : 0 : return 0;
1223 : : }
1224 : : }
1225 : :
1226 : : return 1;
1227 : : }
1228 : :
1229 : : /* Display an FKO error message.
1230 : : */
1231 : : void
1232 : 167 : errmsg(const char *msg, const int err) {
1233 : 167 : log_msg(LOG_VERBOSITY_ERROR, "%s: %s: Error %i - %s",
1234 : : MY_NAME, msg, err, fko_errstr(err));
1235 : 167 : }
1236 : :
1237 : : static void
1238 : 23680 : zero_buf_wrapper(char *buf, int len)
1239 : : {
1240 : :
1241 [ + + ]: 23680 : if(buf == NULL || len == 0)
1242 : : return;
1243 : :
1244 [ - + ]: 21916 : if(zero_buf(buf, len) == FKO_ERROR_ZERO_OUT_DATA)
1245 : 0 : log_msg(LOG_VERBOSITY_ERROR,
1246 : : "[*] Could not zero out sensitive data buffer.");
1247 : :
1248 : : return;
1249 : : }
1250 : :
1251 : : #if HAVE_LIBFIU
1252 : : static int
1253 : 2368 : enable_fault_injections(fko_cli_options_t * const opts)
1254 : : {
1255 : 2368 : int rv = 1;
1256 [ + + ]: 2368 : if(opts->fault_injection_tag[0] != 0x0)
1257 : : {
1258 [ + - ]: 30 : if(opts->verbose)
1259 : 30 : log_msg(LOG_VERBOSITY_NORMAL, "[+] Enable fault injection tag: %s",
1260 : 30 : opts->fault_injection_tag);
1261 [ - + ]: 30 : if(fiu_init(0) != 0)
1262 : : {
1263 : 0 : log_msg(LOG_VERBOSITY_WARNING, "[*] Unable to set fault injection tag: %s",
1264 : 0 : opts->fault_injection_tag);
1265 : 0 : rv = 0;
1266 : : }
1267 [ - + ]: 30 : if(fiu_enable(opts->fault_injection_tag, 1, NULL, 0) != 0)
1268 : : {
1269 : 0 : log_msg(LOG_VERBOSITY_WARNING, "[*] Unable to set fault injection tag: %s",
1270 : : opts->fault_injection_tag);
1271 : 0 : rv = 0;
1272 : : }
1273 : : }
1274 : 2368 : return rv;
1275 : : }
1276 : : #endif
1277 : :
1278 : : /* free up memory and exit
1279 : : */
1280 : : static void
1281 : 2368 : clean_exit(fko_ctx_t ctx, fko_cli_options_t *opts,
1282 : : char *key, int *key_len, char *hmac_key, int *hmac_key_len,
1283 : : unsigned int exit_status)
1284 : : {
1285 : : #if HAVE_LIBFIU
1286 [ + + ]: 2368 : if(opts->fault_injection_tag[0] != 0x0)
1287 : 30 : fiu_disable(opts->fault_injection_tag);
1288 : : #endif
1289 : :
1290 [ - + ]: 2368 : if(fko_destroy(ctx) == FKO_ERROR_ZERO_OUT_DATA)
1291 : 0 : log_msg(LOG_VERBOSITY_ERROR,
1292 : : "[*] Could not zero out sensitive data buffer.");
1293 : 2368 : ctx = NULL;
1294 : 2368 : free_configs(opts);
1295 : 2368 : zero_buf_wrapper(key, *key_len);
1296 : 2368 : zero_buf_wrapper(hmac_key, *hmac_key_len);
1297 : 2368 : *key_len = 0;
1298 : 2368 : *hmac_key_len = 0;
1299 : 2368 : exit(exit_status);
1300 : : }
1301 : :
1302 : : /***EOF***/
|
