Branch data Line data Source code
1 : : /**
2 : : * @file fwknop.c
3 : : *
4 : : * @brief The fwknop client.
5 : : *
6 : : * Fwknop is developed primarily by the people listed in the file 'AUTHORS'.
7 : : * Copyright (C) 2009-2014 fwknop developers and contributors. For a full
8 : : * list of contributors, see the file 'CREDITS'.
9 : : *
10 : : * License (GNU General Public License):
11 : : *
12 : : * This program is free software; you can redistribute it and/or
13 : : * modify it under the terms of the GNU General Public License
14 : : * as published by the Free Software Foundation; either version 2
15 : : * of the License, or (at your option) any later version.
16 : : *
17 : : * This program is distributed in the hope that it will be useful,
18 : : * but WITHOUT ANY WARRANTY; without even the implied warranty of
19 : : * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
20 : : * GNU General Public License for more details.
21 : : *
22 : : * You should have received a copy of the GNU General Public License
23 : : * along with this program; if not, write to the Free Software
24 : : * Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA 02111-1307
25 : : * USA
26 : : */
27 : :
28 : : #include "fwknop.h"
29 : : #include "config_init.h"
30 : : #include "spa_comm.h"
31 : : #include "utils.h"
32 : : #include "getpasswd.h"
33 : :
34 : : #include <sys/stat.h>
35 : : #include <fcntl.h>
36 : :
37 : :
38 : : /* prototypes
39 : : */
40 : : static int get_keys(fko_ctx_t ctx, fko_cli_options_t *options,
41 : : char *key, int *key_len, char *hmac_key, int *hmac_key_len);
42 : : static void errmsg(const char *msg, const int err);
43 : : static int prev_exec(fko_cli_options_t *options, int argc, char **argv);
44 : : static int get_save_file(char *args_save_file);
45 : : static int show_last_command(const char * const args_save_file);
46 : : static int save_args(int argc, char **argv, const char * const args_save_file);
47 : : static int run_last_args(fko_cli_options_t *options,
48 : : const char * const args_save_file);
49 : : static int set_message_type(fko_ctx_t ctx, fko_cli_options_t *options);
50 : : static int set_nat_access(fko_ctx_t ctx, fko_cli_options_t *options,
51 : : const char * const access_buf);
52 : : static int set_access_buf(fko_ctx_t ctx, fko_cli_options_t *options,
53 : : char *access_buf);
54 : : static int get_rand_port(fko_ctx_t ctx);
55 : : int resolve_ip_https(fko_cli_options_t *options);
56 : : int resolve_ip_http(fko_cli_options_t *options);
57 : : static void clean_exit(fko_ctx_t ctx, fko_cli_options_t *opts,
58 : : char *key, int *key_len, char *hmac_key, int *hmac_key_len,
59 : : unsigned int exit_status);
60 : : static void zero_buf_wrapper(char *buf, int len);
61 : : static int is_hostname_str_with_port(const char *str,
62 : : char *hostname, size_t hostname_bufsize, int *port);
63 : : #if HAVE_LIBFIU
64 : : static int enable_fault_injections(fko_cli_options_t * const opts);
65 : : #endif
66 : :
67 : : #if AFL_FUZZING
68 : : /* These are used in AFL fuzzing mode so the fuzzing cycle is not
69 : : * interrupted by trying to read from stdin
70 : : */
71 : : #define AFL_ENC_KEY "aflenckey"
72 : : #define AFL_HMAC_KEY "aflhmackey"
73 : : #endif
74 : :
75 : : #define NAT_ACCESS_STR_TEMPLATE "%s,%d" /*!< Template for a nat access string ip,port with sscanf*/
76 : : #define HOSTNAME_BUFSIZE 64 /*!< Maximum size of a hostname string */
77 : : #define CTX_DUMP_BUFSIZE 4096 /*!< Maximum size allocated to a FKO context dump */
78 : :
79 : : /**
80 : : * @brief Check whether a string is an ipv6 address or not
81 : : *
82 : : * @param str String to check for an ipv6 address.
83 : : *
84 : : * @return 1 if the string is an ipv6 address, 0 otherwise.
85 : : */
86 : : static int
87 : 28 : is_ipv6_str(char *str)
88 : : {
89 : 14 : return 0;
90 : : }
91 : :
92 : : /**
93 : : * @brief Check a string to find out if it is built as 'hostname,port'
94 : : *
95 : : * This function check if we can extract an hostname and a port from the string.
96 : : * If yes, we return 1, and both the hostname buffer and the port number are set
97 : : * accordingly.
98 : : *
99 : : * We could have used sscanf() here with a template "%[^,],%u", but this way we
100 : : * do not limit the size of the value copy in the hostname destination buffer.
101 : : * Limiting the string in the sscanf() can be done but would prevent any easy change
102 : : * for the hostname buffer size.
103 : : *
104 : : * @param str String to parse.
105 : : * @param hostname Buffer where to store the hostname value read from @str.
106 : : * @param hostname_bufsize Hostname buffer size.
107 : : * @param port Value of the port read from @str.
108 : : *
109 : : * @return 1 if the string is built as 'hostname,port', 0 otherwise.
110 : : */
111 : : static int
112 : 50 : is_hostname_str_with_port(const char *str, char *hostname, size_t hostname_bufsize, int *port)
113 : : {
114 : 50 : int valid = 0; /* Result of the function */
115 : 50 : char buf[MAX_LINE_LEN] = {0}; /* Copy of the buffer eg. "hostname,port" */
116 : : char *h; /* Pointer on the hostname string */
117 : : char *p; /* Ponter on the port string */
118 : :
119 : : memset(hostname, 0, hostname_bufsize);
120 : 50 : *port = 0;
121 : :
122 : : /* Replace the comma in the string with a NULL char to split the
123 : : * buffer in two strings (hostname and port) */
124 : 50 : strlcpy(buf, str, sizeof(buf));
125 : 50 : p = strchr(buf, ',');
126 : :
127 [ + - ]: 50 : if(p != NULL)
128 : : {
129 : 50 : *p++ = 0;
130 : 50 : h = buf;
131 : :
132 : 50 : *port = atoi(p);
133 : :
134 : : /* If the string does not match an ipv4 or ipv6 address we assume this
135 : : * is an hostname. We make sure the port is in the good range too */
136 [ + + ]: 50 : if ( (is_valid_ipv4_addr(buf) == 0)
137 [ + - ]: 14 : && (is_ipv6_str(buf) == 0)
138 [ + - ]: 14 : && ((*port > 0) && (*port < 65536)) )
139 : : {
140 : 14 : strlcpy(hostname, h, hostname_bufsize);
141 : 14 : valid = 1;
142 : : }
143 : :
144 : : /* The port is out of range or the ip is an ipv6 or ipv4 address */
145 : : else;
146 : : }
147 : :
148 : : /* No port found in the string, let's skip */
149 : : else;
150 : :
151 : 50 : return valid;
152 : : }
153 : :
154 : : int
155 : 2535 : main(int argc, char **argv)
156 : : {
157 : 2535 : fko_ctx_t ctx = NULL;
158 : 2535 : fko_ctx_t ctx2 = NULL;
159 : : int res;
160 : 2535 : char *spa_data=NULL, *version=NULL;
161 : 2535 : char access_buf[MAX_LINE_LEN] = {0};
162 : 2535 : char key[MAX_KEY_LEN+1] = {0};
163 : 2535 : char hmac_key[MAX_KEY_LEN+1] = {0};
164 : 2535 : int key_len = 0, orig_key_len = 0, hmac_key_len = 0, enc_mode;
165 : 2535 : int tmp_port = 0;
166 : : char dump_buf[CTX_DUMP_BUFSIZE];
167 : :
168 : : fko_cli_options_t options;
169 : :
170 : : memset(&options, 0x0, sizeof(fko_cli_options_t));
171 : :
172 : : /* Initialize the log module */
173 : 2535 : log_new();
174 : :
175 : : /* Handle command line
176 : : */
177 : 2535 : config_init(&options, argc, argv);
178 : :
179 : : #if HAVE_LIBFIU
180 : : /* Set any fault injection points early
181 : : */
182 [ - + ]: 2373 : if(! enable_fault_injections(&options))
183 : 0 : clean_exit(ctx, &options, key, &key_len, hmac_key,
184 : : &hmac_key_len, EXIT_FAILURE);
185 : : #endif
186 : :
187 : : /* Handle previous execution arguments if required
188 : : */
189 [ + + ]: 2373 : if(prev_exec(&options, argc, argv) != 1)
190 : 5 : clean_exit(ctx, &options, key, &key_len, hmac_key,
191 : : &hmac_key_len, EXIT_FAILURE);
192 : :
193 [ + + ]: 2367 : if(options.show_last_command)
194 : 1 : clean_exit(ctx, &options, key, &key_len, hmac_key,
195 : : &hmac_key_len, EXIT_SUCCESS);
196 : :
197 : : /* Intialize the context
198 : : */
199 : 2366 : res = fko_new(&ctx);
200 [ + + ]: 2366 : if(res != FKO_SUCCESS)
201 : : {
202 : 123 : errmsg("fko_new", res);
203 : 123 : clean_exit(ctx, &options, key, &key_len, hmac_key,
204 : : &hmac_key_len, EXIT_FAILURE);
205 : : }
206 : :
207 : : /* Display version info and exit.
208 : : */
209 [ + + ]: 2243 : if(options.version)
210 : : {
211 : 1 : fko_get_version(ctx, &version);
212 : :
213 : 1 : fprintf(stdout, "fwknop client %s, FKO protocol version %s\n",
214 : : MY_VERSION, version);
215 : :
216 : 1 : clean_exit(ctx, &options, key, &key_len,
217 : : hmac_key, &hmac_key_len, EXIT_SUCCESS);
218 : : }
219 : :
220 : : /* Set client timeout
221 : : */
222 [ + + ]: 2242 : if(options.fw_timeout >= 0)
223 : : {
224 : 18 : res = fko_set_spa_client_timeout(ctx, options.fw_timeout);
225 [ - + ]: 18 : if(res != FKO_SUCCESS)
226 : : {
227 : 0 : errmsg("fko_set_spa_client_timeout", res);
228 : 0 : clean_exit(ctx, &options, key, &key_len,
229 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
230 : : }
231 : : }
232 : :
233 : : /* Set the SPA packet message type based on command line options
234 : : */
235 : 2242 : res = set_message_type(ctx, &options);
236 [ - + ]: 2242 : if(res != FKO_SUCCESS)
237 : : {
238 : 0 : errmsg("fko_set_spa_message_type", res);
239 : 0 : clean_exit(ctx, &options, key, &key_len,
240 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
241 : : }
242 : :
243 : : /* Adjust the SPA timestamp if necessary
244 : : */
245 [ + + ]: 2242 : if(options.time_offset_plus > 0)
246 : : {
247 : 5 : res = fko_set_timestamp(ctx, options.time_offset_plus);
248 [ - + ]: 5 : if(res != FKO_SUCCESS)
249 : : {
250 : 0 : errmsg("fko_set_timestamp", res);
251 : 0 : clean_exit(ctx, &options, key, &key_len,
252 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
253 : : }
254 : : }
255 [ + + ]: 2242 : if(options.time_offset_minus > 0)
256 : : {
257 : 8 : res = fko_set_timestamp(ctx, -options.time_offset_minus);
258 [ - + ]: 8 : if(res != FKO_SUCCESS)
259 : : {
260 : 0 : errmsg("fko_set_timestamp", res);
261 : 0 : clean_exit(ctx, &options, key, &key_len,
262 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
263 : : }
264 : : }
265 : :
266 [ + + ]: 2242 : if(options.server_command[0] != 0x0)
267 : : {
268 : : /* Set the access message to a command that the server will
269 : : * execute
270 : : */
271 : : snprintf(access_buf, MAX_LINE_LEN, "%s%s%s",
272 : : options.allow_ip_str, ",", options.server_command);
273 : : }
274 : : else
275 : : {
276 : : /* Resolve the client's public facing IP address if requestesd.
277 : : * if this fails, consider it fatal.
278 : : */
279 [ + + ]: 2222 : if (options.resolve_ip_http_https)
280 : : {
281 [ + + ]: 32 : if(options.resolve_http_only)
282 : : {
283 [ + + ]: 6 : if(resolve_ip_http(&options) < 0)
284 : : {
285 : 2 : clean_exit(ctx, &options, key, &key_len,
286 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
287 : : }
288 : : }
289 : : else
290 : : {
291 : : /* Default to HTTPS */
292 [ + + ]: 26 : if(resolve_ip_https(&options) < 0)
293 : : {
294 : 8 : clean_exit(ctx, &options, key, &key_len,
295 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
296 : : }
297 : : }
298 : : }
299 : :
300 : : /* Set a message string by combining the allow IP and the
301 : : * port/protocol. The fwknopd server allows no port/protocol
302 : : * to be specified as well, so in this case append the string
303 : : * "none/0" to the allow IP.
304 : : */
305 [ + + ]: 2213 : if(set_access_buf(ctx, &options, access_buf) != 1)
306 : 2 : clean_exit(ctx, &options, key, &key_len,
307 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
308 : : }
309 : 2231 : res = fko_set_spa_message(ctx, access_buf);
310 [ + + ]: 2231 : if(res != FKO_SUCCESS)
311 : : {
312 : 4 : errmsg("fko_set_spa_message", res);
313 : 4 : clean_exit(ctx, &options, key, &key_len,
314 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
315 : : }
316 : :
317 : : /* Set NAT access string
318 : : */
319 [ + + ][ + + ]: 2227 : if (options.nat_local || options.nat_access_str[0] != 0x0)
320 : : {
321 : 51 : res = set_nat_access(ctx, &options, access_buf);
322 [ + + ]: 51 : if(res != FKO_SUCCESS)
323 : : {
324 : 4 : errmsg("fko_set_nat_access_str", res);
325 : 4 : clean_exit(ctx, &options, key, &key_len,
326 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
327 : : }
328 : : }
329 : :
330 : : /* Set username
331 : : */
332 [ + + ]: 2223 : if(options.spoof_user[0] != 0x0)
333 : : {
334 : 10 : res = fko_set_username(ctx, options.spoof_user);
335 [ + + ]: 10 : if(res != FKO_SUCCESS)
336 : : {
337 : 1 : errmsg("fko_set_username", res);
338 : 1 : clean_exit(ctx, &options, key, &key_len,
339 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
340 : : }
341 : : }
342 : :
343 : : /* Set up for using GPG if specified.
344 : : */
345 [ + + ]: 2222 : if(options.use_gpg)
346 : : {
347 : : /* If use-gpg-agent was not specified, then remove the GPG_AGENT_INFO
348 : : * ENV variable if it exists.
349 : : */
350 : : #ifndef WIN32
351 [ + + ]: 83 : if(!options.use_gpg_agent)
352 : 82 : unsetenv("GPG_AGENT_INFO");
353 : : #endif
354 : :
355 : 83 : res = fko_set_spa_encryption_type(ctx, FKO_ENCRYPTION_GPG);
356 [ - + ]: 83 : if(res != FKO_SUCCESS)
357 : : {
358 : 0 : errmsg("fko_set_spa_encryption_type", res);
359 : 0 : clean_exit(ctx, &options, key, &key_len,
360 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
361 : : }
362 : :
363 : : /* Set gpg path if necessary
364 : : */
365 [ + + ]: 83 : if(strlen(options.gpg_exe) > 0)
366 : : {
367 : 5 : res = fko_set_gpg_exe(ctx, options.gpg_exe);
368 [ + + ]: 5 : if(res != FKO_SUCCESS)
369 : : {
370 : 3 : errmsg("fko_set_gpg_exe", res);
371 : 3 : clean_exit(ctx, &options, key, &key_len,
372 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
373 : : }
374 : : }
375 : :
376 : : /* If a GPG home dir was specified, set it here. Note: Setting
377 : : * this has to occur before calling any of the other GPG-related
378 : : * functions.
379 : : */
380 [ + - ]: 80 : if(strlen(options.gpg_home_dir) > 0)
381 : : {
382 : 80 : res = fko_set_gpg_home_dir(ctx, options.gpg_home_dir);
383 [ + + ]: 80 : if(res != FKO_SUCCESS)
384 : : {
385 : 1 : errmsg("fko_set_gpg_home_dir", res);
386 : 1 : clean_exit(ctx, &options, key, &key_len,
387 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
388 : : }
389 : : }
390 : :
391 : 79 : res = fko_set_gpg_recipient(ctx, options.gpg_recipient_key);
392 [ + + ]: 79 : if(res != FKO_SUCCESS)
393 : : {
394 : 1 : errmsg("fko_set_gpg_recipient", res);
395 : :
396 [ + - ]: 1 : if(IS_GPG_ERROR(res))
397 : 1 : log_msg(LOG_VERBOSITY_ERROR, "GPG ERR: %s", fko_gpg_errstr(ctx));
398 : 1 : clean_exit(ctx, &options, key, &key_len,
399 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
400 : : }
401 : :
402 [ + - ]: 78 : if(strlen(options.gpg_signer_key) > 0)
403 : : {
404 : 78 : res = fko_set_gpg_signer(ctx, options.gpg_signer_key);
405 [ + + ]: 78 : if(res != FKO_SUCCESS)
406 : : {
407 : 1 : errmsg("fko_set_gpg_signer", res);
408 : :
409 [ + - ]: 1 : if(IS_GPG_ERROR(res))
410 : 1 : log_msg(LOG_VERBOSITY_ERROR, "GPG ERR: %s", fko_gpg_errstr(ctx));
411 : 1 : clean_exit(ctx, &options, key, &key_len,
412 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
413 : : }
414 : : }
415 : :
416 : 77 : res = fko_set_spa_encryption_mode(ctx, FKO_ENC_MODE_ASYMMETRIC);
417 [ - + ]: 77 : if(res != FKO_SUCCESS)
418 : : {
419 : 0 : errmsg("fko_set_spa_encryption_mode", res);
420 : 0 : clean_exit(ctx, &options, key, &key_len,
421 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
422 : : }
423 : : }
424 : :
425 [ + + ][ + - ]: 2216 : if(options.encryption_mode && !options.use_gpg)
426 : : {
427 : 21 : res = fko_set_spa_encryption_mode(ctx, options.encryption_mode);
428 [ - + ]: 21 : if(res != FKO_SUCCESS)
429 : : {
430 : 0 : errmsg("fko_set_spa_encryption_mode", res);
431 : 0 : clean_exit(ctx, &options, key, &key_len,
432 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
433 : : }
434 : : }
435 : :
436 : : /* Set Digest type.
437 : : */
438 [ + + ]: 2216 : if(options.digest_type)
439 : : {
440 : 40 : res = fko_set_spa_digest_type(ctx, options.digest_type);
441 [ - + ]: 40 : if(res != FKO_SUCCESS)
442 : : {
443 : 0 : errmsg("fko_set_spa_digest_type", res);
444 : 0 : clean_exit(ctx, &options, key, &key_len,
445 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
446 : : }
447 : : }
448 : :
449 : : /* Acquire the necessary encryption/hmac keys
450 : : */
451 [ + + ]: 2216 : if(get_keys(ctx, &options, key, &key_len, hmac_key, &hmac_key_len) != 1)
452 : 46 : clean_exit(ctx, &options, key, &key_len,
453 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
454 : :
455 : 2170 : orig_key_len = key_len;
456 : :
457 [ + + ]: 2170 : if(options.encryption_mode == FKO_ENC_MODE_CBC_LEGACY_IV
458 [ + + ]: 3 : && key_len > 16)
459 : : {
460 : 1 : log_msg(LOG_VERBOSITY_ERROR,
461 : : "WARNING: Encryption key in '-M legacy' mode must be <= 16 bytes");
462 : 1 : log_msg(LOG_VERBOSITY_ERROR,
463 : : "long - truncating before sending SPA packet. Upgrading remote");
464 : 1 : log_msg(LOG_VERBOSITY_ERROR,
465 : : "fwknopd is recommended.");
466 : 1 : key_len = 16;
467 : : }
468 : :
469 : : /* Finalize the context data (encrypt and encode the SPA data)
470 : : */
471 : 2170 : res = fko_spa_data_final(ctx, key, key_len, hmac_key, hmac_key_len);
472 [ + + ]: 2170 : if(res != FKO_SUCCESS)
473 : : {
474 : 191 : errmsg("fko_spa_data_final", res);
475 : :
476 [ - + ]: 191 : if(IS_GPG_ERROR(res))
477 : 0 : log_msg(LOG_VERBOSITY_ERROR, "GPG ERR: %s", fko_gpg_errstr(ctx));
478 : 191 : clean_exit(ctx, &options, key, &orig_key_len,
479 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
480 : : }
481 : :
482 : : /* Display the context data.
483 : : */
484 [ + - ]: 1979 : if (options.verbose || options.test)
485 : : {
486 : 1979 : res = dump_ctx_to_buffer(ctx, dump_buf, sizeof(dump_buf));
487 [ + - ]: 1979 : if (res == FKO_SUCCESS)
488 : 1979 : log_msg(LOG_VERBOSITY_NORMAL, "%s", dump_buf);
489 : : else
490 : 0 : log_msg(LOG_VERBOSITY_WARNING, "Unable to dump FKO context: %s",
491 : : fko_errstr(res));
492 : : }
493 : :
494 : : /* Save packet data payload if requested.
495 : : */
496 [ + + ]: 1979 : if (options.save_packet_file[0] != 0x0)
497 : 4 : write_spa_packet_data(ctx, &options);
498 : :
499 : : /* SPA packet random destination port handling
500 : : */
501 [ + + ]: 1979 : if (options.rand_port)
502 : : {
503 : 5 : tmp_port = get_rand_port(ctx);
504 [ - + ]: 5 : if(tmp_port < 0)
505 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
506 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
507 : 5 : options.spa_dst_port = tmp_port;
508 : : }
509 : :
510 : : /* If we are using one the "raw" modes (normally because
511 : : * we're going to spoof the SPA packet source IP), then select
512 : : * a random source port unless the source port is already set
513 : : */
514 [ + + ]: 1979 : if ((options.spa_proto == FKO_PROTO_TCP_RAW
515 : 1979 : || options.spa_proto == FKO_PROTO_UDP_RAW
516 [ + + ]: 1971 : || options.spa_proto == FKO_PROTO_ICMP)
517 [ + - ]: 12 : && !options.spa_src_port)
518 : : {
519 : 12 : tmp_port = get_rand_port(ctx);
520 [ - + ]: 12 : if(tmp_port < 0)
521 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
522 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
523 : 12 : options.spa_src_port = tmp_port;
524 : : }
525 : :
526 : 1979 : res = send_spa_packet(ctx, &options);
527 [ + + ]: 1979 : if(res < 0)
528 : : {
529 : 41 : log_msg(LOG_VERBOSITY_ERROR, "send_spa_packet: packet not sent.");
530 : 41 : clean_exit(ctx, &options, key, &orig_key_len,
531 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
532 : : }
533 : : else
534 : : {
535 : 1938 : log_msg(LOG_VERBOSITY_INFO, "send_spa_packet: bytes sent: %i", res);
536 : : }
537 : :
538 : : /* Run through a decode cycle in test mode (--DSS XXX: This test/decode
539 : : * portion should be moved elsewhere).
540 : : */
541 [ + + ]: 1938 : if (options.test)
542 : : {
543 : : /************** Decoding now *****************/
544 : :
545 : : /* Now we create a new context based on data from the first one.
546 : : */
547 : 103 : res = fko_get_spa_data(ctx, &spa_data);
548 [ - + ]: 103 : if(res != FKO_SUCCESS)
549 : : {
550 : 0 : errmsg("fko_get_spa_data", res);
551 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
552 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
553 : : }
554 : :
555 : : /* Pull the encryption mode.
556 : : */
557 : 103 : res = fko_get_spa_encryption_mode(ctx, &enc_mode);
558 [ - + ]: 103 : if(res != FKO_SUCCESS)
559 : : {
560 : 0 : errmsg("fko_get_spa_encryption_mode", res);
561 [ # # ]: 0 : if(fko_destroy(ctx) == FKO_ERROR_ZERO_OUT_DATA)
562 : 0 : log_msg(LOG_VERBOSITY_ERROR,
563 : : "[*] Could not zero out sensitive data buffer.");
564 : 0 : ctx = NULL;
565 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
566 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
567 : : }
568 : :
569 : : /* If gpg-home-dir is specified, we have to defer decrypting if we
570 : : * use the fko_new_with_data() function because we need to set the
571 : : * gpg home dir after the context is created, but before we attempt
572 : : * to decrypt the data. Therefore we either pass NULL for the
573 : : * decryption key to fko_new_with_data() or use fko_new() to create
574 : : * an empty context, populate it with the encrypted data, set our
575 : : * options, then decode it.
576 : : *
577 : : * This also verifies the HMAC and truncates it if there are no
578 : : * problems.
579 : : */
580 : 103 : res = fko_new_with_data(&ctx2, spa_data, NULL,
581 : : 0, enc_mode, hmac_key, hmac_key_len, options.hmac_type);
582 [ - + ]: 103 : if(res != FKO_SUCCESS)
583 : : {
584 : 0 : errmsg("fko_new_with_data", res);
585 [ # # ]: 0 : if(fko_destroy(ctx2) == FKO_ERROR_ZERO_OUT_DATA)
586 : 0 : log_msg(LOG_VERBOSITY_ERROR,
587 : : "[*] Could not zero out sensitive data buffer.");
588 : 0 : ctx2 = NULL;
589 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
590 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
591 : : }
592 : :
593 : 103 : res = fko_set_spa_encryption_mode(ctx2, enc_mode);
594 [ - + ]: 103 : if(res != FKO_SUCCESS)
595 : : {
596 : 0 : errmsg("fko_set_spa_encryption_mode", res);
597 [ # # ]: 0 : if(fko_destroy(ctx2) == FKO_ERROR_ZERO_OUT_DATA)
598 : 0 : log_msg(LOG_VERBOSITY_ERROR,
599 : : "[*] Could not zero out sensitive data buffer.");
600 : 0 : ctx2 = NULL;
601 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
602 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
603 : : }
604 : :
605 : : /* See if we are using gpg and if we need to set the GPG home dir.
606 : : */
607 [ + + ]: 103 : if(options.use_gpg)
608 : : {
609 [ + - ]: 5 : if(strlen(options.gpg_home_dir) > 0)
610 : : {
611 : 5 : res = fko_set_gpg_home_dir(ctx2, options.gpg_home_dir);
612 [ - + ]: 5 : if(res != FKO_SUCCESS)
613 : : {
614 : 0 : errmsg("fko_set_gpg_home_dir", res);
615 [ # # ]: 0 : if(fko_destroy(ctx2) == FKO_ERROR_ZERO_OUT_DATA)
616 : 0 : log_msg(LOG_VERBOSITY_ERROR,
617 : : "[*] Could not zero out sensitive data buffer.");
618 : 0 : ctx2 = NULL;
619 : 0 : clean_exit(ctx, &options, key, &orig_key_len,
620 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
621 : : }
622 : : }
623 : : }
624 : :
625 : : /* Decrypt
626 : : */
627 : 103 : res = fko_decrypt_spa_data(ctx2, key, key_len);
628 : :
629 [ + + ]: 103 : if(res != FKO_SUCCESS)
630 : : {
631 : 1 : errmsg("fko_decrypt_spa_data", res);
632 : :
633 [ - + ]: 1 : if(IS_GPG_ERROR(res)) {
634 : : /* we most likely could not decrypt the gpg-encrypted data
635 : : * because we don't have access to the private key associated
636 : : * with the public key we used for encryption. Since this is
637 : : * expected, return 0 instead of an error condition (so calling
638 : : * programs like the fwknop test suite don't interpret this as
639 : : * an unrecoverable error), but print the error string for
640 : : * debugging purposes. The test suite does run a series of
641 : : * tests that use a single key pair for encryption and
642 : : * authentication, so decryption become possible for these
643 : : * tests. */
644 : 0 : log_msg(LOG_VERBOSITY_ERROR, "GPG ERR: %s\n%s", fko_gpg_errstr(ctx2),
645 : : "No access to recipient private key?");
646 : : }
647 [ - + ]: 1 : if(fko_destroy(ctx2) == FKO_ERROR_ZERO_OUT_DATA)
648 : 0 : log_msg(LOG_VERBOSITY_ERROR,
649 : : "[*] Could not zero out sensitive data buffer.");
650 : 1 : ctx2 = NULL;
651 : 1 : clean_exit(ctx, &options, key, &orig_key_len,
652 : : hmac_key, &hmac_key_len, EXIT_FAILURE);
653 : : }
654 : :
655 : 102 : res = dump_ctx_to_buffer(ctx2, dump_buf, sizeof(dump_buf));
656 [ + - ]: 102 : if (res == FKO_SUCCESS)
657 : 102 : log_msg(LOG_VERBOSITY_NORMAL, "\nDump of the Decoded Data\n%s", dump_buf);
658 : : else
659 : 0 : log_msg(LOG_VERBOSITY_WARNING, "Unable to dump FKO context: %s", fko_errstr(res));
660 : :
661 [ - + ]: 102 : if(fko_destroy(ctx2) == FKO_ERROR_ZERO_OUT_DATA)
662 : 0 : log_msg(LOG_VERBOSITY_ERROR,
663 : : "[*] Could not zero out sensitive data buffer.");
664 : 102 : ctx2 = NULL;
665 : : }
666 : :
667 : 1937 : clean_exit(ctx, &options, key, &orig_key_len,
668 : : hmac_key, &hmac_key_len, EXIT_SUCCESS);
669 : :
670 : : return EXIT_SUCCESS; /* quiet down a gcc warning */
671 : : }
672 : :
673 : : void
674 : 2373 : free_configs(fko_cli_options_t *opts)
675 : : {
676 [ + + ]: 2373 : if (opts->resolve_url != NULL)
677 : 22 : free(opts->resolve_url);
678 [ + + ]: 2373 : if (opts->wget_bin != NULL)
679 : 5 : free(opts->wget_bin);
680 : 2373 : zero_buf_wrapper(opts->key, MAX_KEY_LEN+1);
681 : 2373 : zero_buf_wrapper(opts->key_base64, MAX_B64_KEY_LEN+1);
682 : 2373 : zero_buf_wrapper(opts->hmac_key, MAX_KEY_LEN+1);
683 : 2373 : zero_buf_wrapper(opts->hmac_key_base64, MAX_B64_KEY_LEN+1);
684 : 2373 : zero_buf_wrapper(opts->gpg_recipient_key, MAX_GPG_KEY_ID);
685 : 2373 : zero_buf_wrapper(opts->gpg_signer_key, MAX_GPG_KEY_ID);
686 : 2373 : zero_buf_wrapper(opts->gpg_home_dir, MAX_PATH_LEN);
687 : 2373 : zero_buf_wrapper(opts->server_command, MAX_LINE_LEN);
688 : 2373 : }
689 : :
690 : : static int
691 : 25 : get_rand_port(fko_ctx_t ctx)
692 : : {
693 : 25 : char *rand_val = NULL;
694 : 25 : char port_str[MAX_PORT_STR_LEN+1] = {0};
695 : : int tmpint, is_err;
696 : 25 : int port = 0;
697 : 25 : int res = 0;
698 : :
699 : 25 : res = fko_get_rand_value(ctx, &rand_val);
700 [ - + ]: 25 : if(res != FKO_SUCCESS)
701 : : {
702 : 0 : errmsg("get_rand_port(), fko_get_rand_value", res);
703 : 0 : return -1;
704 : : }
705 : :
706 : 25 : strlcpy(port_str, rand_val, sizeof(port_str));
707 : :
708 : 25 : tmpint = strtol_wrapper(port_str, 0, -1, NO_EXIT_UPON_ERR, &is_err);
709 [ - + ]: 25 : if(is_err != FKO_SUCCESS)
710 : : {
711 : 0 : log_msg(LOG_VERBOSITY_ERROR,
712 : : "[*] get_rand_port(), could not convert rand_val str '%s', to integer",
713 : : rand_val);
714 : 0 : return -1;
715 : : }
716 : :
717 : : /* Convert to a random value between 1024 and 65535
718 : : */
719 : 25 : port = (MIN_HIGH_PORT + (tmpint % (MAX_PORT - MIN_HIGH_PORT)));
720 : :
721 : : /* Force libfko to calculate a new random value since we don't want to
722 : : * give anyone a hint (via the port value) about the contents of the
723 : : * encrypted SPA data.
724 : : */
725 : 25 : res = fko_set_rand_value(ctx, NULL);
726 [ - + ]: 25 : if(res != FKO_SUCCESS)
727 : : {
728 : 0 : errmsg("get_rand_port(), fko_get_rand_value", res);
729 : 0 : return -1;
730 : : }
731 : :
732 : : return port;
733 : : }
734 : :
735 : : /* See if the string is of the format "<ipv4 addr>:<port>",
736 : : */
737 : : static int
738 : 30 : ipv4_str_has_port(char *str)
739 : : {
740 : : int o1, o2, o3, o4, p;
741 : :
742 : : /* Force the ':' (if any) to a ','
743 : : */
744 : 30 : char *ndx = strchr(str, ':');
745 [ + + ]: 30 : if(ndx != NULL)
746 : 26 : *ndx = ',';
747 : :
748 : : /* Check format and values.
749 : : */
750 [ + + ]: 30 : if((sscanf(str, "%u.%u.%u.%u,%u", &o1, &o2, &o3, &o4, &p)) == 5
751 [ + - ][ + + ]: 25 : && o1 >= 0 && o1 <= 255
752 [ + - ][ + - ]: 23 : && o2 >= 0 && o2 <= 255
753 [ + - ][ + - ]: 23 : && o3 >= 0 && o3 <= 255
754 [ + - ][ + - ]: 23 : && o4 >= 0 && o4 <= 255
755 [ + - ][ - + ]: 23 : && p > 0 && p < 65536)
756 : : {
757 : : return 1;
758 : : }
759 : :
760 : 7 : return 0;
761 : : }
762 : :
763 : : /* Set access buf
764 : : */
765 : : static int
766 : 2213 : set_access_buf(fko_ctx_t ctx, fko_cli_options_t *options, char *access_buf)
767 : : {
768 : 2213 : char *ndx = NULL, tmp_nat_port[MAX_PORT_STR_LEN+1] = {0};
769 : 2213 : int nat_port = 0;
770 : :
771 [ + + ]: 2213 : if(options->access_str[0] != 0x0)
772 : : {
773 [ + + ]: 2212 : if (options->nat_rand_port)
774 : : {
775 : 8 : nat_port = get_rand_port(ctx);
776 : 8 : options->nat_port = nat_port;
777 : : }
778 [ + + ]: 2204 : else if (options->nat_port)
779 : 8 : nat_port = options->nat_port;
780 : :
781 [ + + ]: 2212 : if(nat_port > 0 && nat_port <= MAX_PORT)
782 : : {
783 : : /* Replace the access string port with the NAT port since the
784 : : * NAT port is manually specified (--nat-port) or derived from
785 : : * random data (--nat-rand-port). In the NAT modes, the fwknopd
786 : : * server uses the port in the access string as the one to NAT,
787 : : * and access is granted via this translated port to whatever is
788 : : * specified with --nat-access <IP:port> (so this service is the
789 : : * utlimate target of the incoming connection after the SPA
790 : : * packet is sent).
791 : : */
792 : 16 : ndx = strchr(options->access_str, '/');
793 [ + + ]: 16 : if(ndx == NULL)
794 : : {
795 : 1 : log_msg(LOG_VERBOSITY_ERROR, "[*] Expecting <proto>/<port> for -A arg.");
796 : 1 : return 0;
797 : : }
798 : : snprintf(access_buf, MAX_LINE_LEN, "%s%s",
799 : 15 : options->allow_ip_str, ",");
800 : :
801 : : /* This adds in the protocol + '/' char
802 : : */
803 : 15 : strlcat(access_buf, options->access_str,
804 : 15 : strlen(access_buf) + (ndx - options->access_str) + 2);
805 : :
806 [ + + ]: 15 : if (strchr(ndx+1, '/') != NULL)
807 : : {
808 : 1 : log_msg(LOG_VERBOSITY_ERROR,
809 : : "[*] NAT for multiple ports/protocols not yet supported.");
810 : 1 : return 0;
811 : : }
812 : :
813 : : /* Now add the NAT port
814 : : */
815 : : snprintf(tmp_nat_port, MAX_PORT_STR_LEN+1, "%d", nat_port);
816 : 14 : strlcat(access_buf, tmp_nat_port,
817 : 14 : strlen(access_buf)+MAX_PORT_STR_LEN+1);
818 : : }
819 : : else
820 : : {
821 : : snprintf(access_buf, MAX_LINE_LEN, "%s%s%s",
822 : 2196 : options->allow_ip_str, ",", options->access_str);
823 : : }
824 : : }
825 : : else
826 : : {
827 : : snprintf(access_buf, MAX_LINE_LEN, "%s%s%s",
828 : 1 : options->allow_ip_str, ",", "none/0");
829 : : }
830 : : return 1;
831 : : }
832 : :
833 : : /* Set NAT access string
834 : : */
835 : : static int
836 : 51 : set_nat_access(fko_ctx_t ctx, fko_cli_options_t *options, const char * const access_buf)
837 : : {
838 : 51 : char nat_access_buf[MAX_LINE_LEN] = {0};
839 : 51 : char tmp_access_port[MAX_PORT_STR_LEN+1] = {0}, *ndx = NULL;
840 : 51 : int access_port = 0, i = 0, is_err = 0;
841 : 51 : char dst_ip_str[INET_ADDRSTRLEN] = {0};
842 : 51 : char hostname[HOSTNAME_BUFSIZE] = {0};
843 : 51 : int port = 0;
844 : : struct addrinfo hints;
845 : :
846 : : memset(&hints, 0 , sizeof(hints));
847 : :
848 : 51 : ndx = strchr(options->access_str, '/');
849 [ - + ]: 51 : if(ndx == NULL)
850 : : {
851 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] Expecting <proto>/<port> for -A arg.");
852 : 0 : return FKO_ERROR_INVALID_DATA;
853 : : }
854 : 51 : ndx++;
855 : :
856 [ + + ][ + - ]: 156 : while(*ndx != '\0' && isdigit(*ndx) && i < MAX_PORT_STR_LEN)
[ + - ]
857 : : {
858 : 105 : tmp_access_port[i] = *ndx;
859 : 105 : ndx++;
860 : 105 : i++;
861 : : }
862 : 51 : tmp_access_port[i] = '\0';
863 : :
864 : 51 : access_port = strtol_wrapper(tmp_access_port, 1,
865 : : MAX_PORT, NO_EXIT_UPON_ERR, &is_err);
866 [ + + ]: 51 : if(is_err != FKO_SUCCESS)
867 : : {
868 : 1 : log_msg(LOG_VERBOSITY_ERROR, "[*] Invalid port value '%d' for -A arg.",
869 : : access_port);
870 : 1 : return FKO_ERROR_INVALID_DATA;
871 : : }
872 : :
873 [ + + ][ + - ]: 50 : if (options->nat_local && options->nat_access_str[0] == 0x0)
874 : : {
875 : : snprintf(nat_access_buf, MAX_LINE_LEN, NAT_ACCESS_STR_TEMPLATE,
876 : 20 : options->spa_server_str, access_port);
877 : : }
878 : :
879 [ + + ][ + - ]: 50 : if (nat_access_buf[0] == 0x0 && options->nat_access_str[0] != 0x0)
880 : : {
881 [ + + ]: 30 : if (ipv4_str_has_port(options->nat_access_str))
882 : : {
883 : : snprintf(nat_access_buf, MAX_LINE_LEN, "%s",
884 : 23 : options->nat_access_str);
885 : : }
886 : : else
887 : : {
888 : : snprintf(nat_access_buf, MAX_LINE_LEN, NAT_ACCESS_STR_TEMPLATE,
889 : 7 : options->nat_access_str, access_port);
890 : : }
891 : : }
892 : :
893 : : /* Check if there is a hostname to resolve as an ip address in the NAT access buffer */
894 [ + + ]: 50 : if (is_hostname_str_with_port(nat_access_buf, hostname, sizeof(hostname), &port))
895 : : {
896 : : /* Speed up the name resolution by forcing ipv4 (AF_INET).
897 : : * A NULL pointer could be used instead if there is no constraint.
898 : : * Maybe when ipv6 support will be enable the structure could initialize the
899 : : * family to either AF_INET or AF_INET6 */
900 : 14 : hints.ai_family = AF_INET;
901 : :
902 [ + + ]: 14 : if (resolve_dest_adr(hostname, &hints, dst_ip_str, sizeof(dst_ip_str)) != 0)
903 : : {
904 : 3 : log_msg(LOG_VERBOSITY_ERROR, "[*] Unable to resolve %s as an ip address",
905 : : hostname);
906 : 3 : return FKO_ERROR_INVALID_DATA;
907 : : }
908 : :
909 : 11 : snprintf(nat_access_buf, MAX_LINE_LEN, NAT_ACCESS_STR_TEMPLATE,
910 : : dst_ip_str, port);
911 : : }
912 : :
913 : : /* Nothing to resolve */
914 : : else;
915 : :
916 [ + + ]: 47 : if(options->nat_rand_port)
917 : : {
918 : : /* Must print to stdout what the random port is since
919 : : * if not then the user will not which port will be
920 : : * opened/NAT'd on the fwknopd side
921 : : */
922 : 8 : log_msg(LOG_VERBOSITY_NORMAL,
923 : : "[+] Randomly assigned port '%d' on: '%s' will grant access to: '%s'",
924 : : options->nat_port, access_buf, nat_access_buf);
925 : : }
926 : :
927 : 47 : return fko_set_spa_nat_access(ctx, nat_access_buf);
928 : : }
929 : :
930 : : static int
931 : 2373 : prev_exec(fko_cli_options_t *options, int argc, char **argv)
932 : : {
933 : 2373 : char args_save_file[MAX_PATH_LEN] = {0};
934 : 2373 : int res = 1;
935 : :
936 [ + + ]: 2373 : if(options->args_save_file[0] != 0x0)
937 : : {
938 : 8 : strlcpy(args_save_file, options->args_save_file, sizeof(args_save_file));
939 : : }
940 : : else
941 : : {
942 [ + + ]: 2365 : if (get_save_file(args_save_file) != 1)
943 : : {
944 : 1 : log_msg(LOG_VERBOSITY_ERROR, "Unable to determine args save file");
945 : 1 : return 0;
946 : : }
947 : : }
948 : :
949 [ + + ]: 2372 : if(options->run_last_command)
950 : 4 : res = run_last_args(options, args_save_file);
951 [ + + ]: 2368 : else if(options->show_last_command)
952 : 3 : res = show_last_command(args_save_file);
953 [ + + ]: 2365 : else if (!options->no_save_args)
954 : 105 : res = save_args(argc, argv, args_save_file);
955 : :
956 : 2371 : return res;
957 : : }
958 : :
959 : : /* Show the last command that was executed
960 : : */
961 : : static int
962 : 3 : show_last_command(const char * const args_save_file)
963 : : {
964 : 3 : char args_str[MAX_LINE_LEN] = {0};
965 : 3 : FILE *args_file_ptr = NULL;
966 : :
967 [ + - ]: 3 : if(verify_file_perms_ownership(args_save_file) != 1)
968 : : return 0;
969 : :
970 [ + + ]: 3 : if ((args_file_ptr = fopen(args_save_file, "r")) == NULL) {
971 : 2 : log_msg(LOG_VERBOSITY_ERROR, "Could not open args file: %s",
972 : : args_save_file);
973 : 2 : return 0;
974 : : }
975 : :
976 [ + - ]: 1 : if ((fgets(args_str, MAX_LINE_LEN, args_file_ptr)) != NULL) {
977 : 1 : log_msg(LOG_VERBOSITY_NORMAL,
978 : : "Last fwknop client command line: %s", args_str);
979 : : } else {
980 : 0 : log_msg(LOG_VERBOSITY_NORMAL,
981 : : "Could not read line from file: %s", args_save_file);
982 : 0 : fclose(args_file_ptr);
983 : 0 : return 0;
984 : : }
985 : 1 : fclose(args_file_ptr);
986 : :
987 : 1 : return 1;
988 : : }
989 : :
990 : : /* Get the command line arguments from the previous invocation
991 : : */
992 : : static int
993 : 4 : run_last_args(fko_cli_options_t *options, const char * const args_save_file)
994 : : {
995 : 4 : FILE *args_file_ptr = NULL;
996 : 4 : int argc_new = 0, args_broken = 0;
997 : 4 : char args_str[MAX_LINE_LEN] = {0};
998 : : char *argv_new[MAX_CMDLINE_ARGS]; /* should be way more than enough */
999 : :
1000 : : memset(argv_new, 0x0, sizeof(argv_new));
1001 : :
1002 [ + - ]: 4 : if(verify_file_perms_ownership(args_save_file) != 1)
1003 : : return 0;
1004 : :
1005 [ - + ]: 4 : if ((args_file_ptr = fopen(args_save_file, "r")) == NULL)
1006 : : {
1007 : 0 : log_msg(LOG_VERBOSITY_ERROR, "Could not open args file: %s",
1008 : : args_save_file);
1009 : 0 : return 0;
1010 : : }
1011 [ + + ]: 4 : if ((fgets(args_str, MAX_LINE_LEN, args_file_ptr)) != NULL)
1012 : : {
1013 : 3 : args_str[MAX_LINE_LEN-1] = '\0';
1014 [ + + ]: 3 : if (options->verbose)
1015 : 2 : log_msg(LOG_VERBOSITY_NORMAL, "Executing: %s", args_str);
1016 [ + + ]: 3 : if(strtoargv(args_str, argv_new, &argc_new, options) != 1)
1017 : : {
1018 : 1 : args_broken = 1;
1019 : : }
1020 : : }
1021 : 4 : fclose(args_file_ptr);
1022 : :
1023 [ + + ]: 4 : if(args_broken)
1024 : : return 0;
1025 : :
1026 : : /* Reset the options index so we can run through them again.
1027 : : */
1028 : 3 : optind = 0;
1029 : :
1030 : 3 : config_init(options, argc_new, argv_new);
1031 : :
1032 : : /* Since we passed in our own copies, free up malloc'd memory
1033 : : */
1034 : 2 : free_argv(argv_new, &argc_new);
1035 : :
1036 : 2 : return 1;
1037 : : }
1038 : :
1039 : : static int
1040 : 2365 : get_save_file(char *args_save_file)
1041 : : {
1042 : 2365 : char *homedir = NULL;
1043 : 2365 : int rv = 0;
1044 : :
1045 : : #ifdef WIN32
1046 : : homedir = getenv("USERPROFILE");
1047 : : #else
1048 : 2365 : homedir = getenv("HOME");
1049 : : #endif
1050 [ + + ]: 2365 : if (homedir != NULL) {
1051 : : snprintf(args_save_file, MAX_PATH_LEN, "%s%c%s",
1052 : : homedir, PATH_SEP, ".fwknop.run");
1053 : 2364 : rv = 1;
1054 : : }
1055 : :
1056 : 2365 : return rv;
1057 : : }
1058 : :
1059 : : /* Save our command line arguments
1060 : : */
1061 : : static int
1062 : 105 : save_args(int argc, char **argv, const char * const args_save_file)
1063 : : {
1064 : 105 : char args_str[MAX_LINE_LEN] = {0};
1065 : 105 : int i = 0, args_str_len = 0, args_file_fd = -1;
1066 : :
1067 : 105 : args_file_fd = open(args_save_file, O_WRONLY|O_CREAT|O_TRUNC, S_IRUSR|S_IWUSR);
1068 [ + - ]: 105 : if (args_file_fd == -1) {
1069 : 0 : log_msg(LOG_VERBOSITY_ERROR, "Could not open args file: %s",
1070 : : args_save_file);
1071 : 0 : return 0;
1072 : : }
1073 : : else {
1074 [ + + ]: 1661 : for (i=0; i < argc; i++) {
1075 : 1557 : args_str_len += strlen(argv[i]);
1076 [ + + ]: 1557 : if (args_str_len >= MAX_PATH_LEN) {
1077 : 1 : log_msg(LOG_VERBOSITY_ERROR, "argument string too long, exiting.");
1078 : 1 : close(args_file_fd);
1079 : 1 : return 0;
1080 : : }
1081 : 1556 : strlcat(args_str, argv[i], sizeof(args_str));
1082 : 1556 : strlcat(args_str, " ", sizeof(args_str));
1083 : : }
1084 : 104 : strlcat(args_str, "\n", sizeof(args_str));
1085 [ - + ]: 104 : if(write(args_file_fd, args_str, strlen(args_str))
1086 : 104 : != strlen(args_str)) {
1087 : 0 : log_msg(LOG_VERBOSITY_WARNING,
1088 : : "warning, did not write expected number of bytes to args save file");
1089 : : }
1090 : 104 : close(args_file_fd);
1091 : : }
1092 : 104 : return 1;
1093 : : }
1094 : :
1095 : : /* Set the SPA packet message type
1096 : : */
1097 : : static int
1098 : 2242 : set_message_type(fko_ctx_t ctx, fko_cli_options_t *options)
1099 : : {
1100 : : short message_type;
1101 : :
1102 [ + + ]: 2242 : if(options->server_command[0] != 0x0)
1103 : : {
1104 : : message_type = FKO_COMMAND_MSG;
1105 : : }
1106 [ + + ]: 2222 : else if(options->nat_local)
1107 : : {
1108 [ + + ]: 20 : if (options->fw_timeout >= 0)
1109 : : message_type = FKO_CLIENT_TIMEOUT_LOCAL_NAT_ACCESS_MSG;
1110 : : else
1111 : 19 : message_type = FKO_LOCAL_NAT_ACCESS_MSG;
1112 : : }
1113 [ + + ]: 2202 : else if(options->nat_access_str[0] != 0x0)
1114 : : {
1115 [ + + ]: 35 : if (options->fw_timeout >= 0)
1116 : : message_type = FKO_CLIENT_TIMEOUT_NAT_ACCESS_MSG;
1117 : : else
1118 : 33 : message_type = FKO_NAT_ACCESS_MSG;
1119 : : }
1120 : : else
1121 : : {
1122 [ + + ]: 2167 : if (options->fw_timeout >= 0)
1123 : : message_type = FKO_CLIENT_TIMEOUT_ACCESS_MSG;
1124 : : else
1125 : 2152 : message_type = FKO_ACCESS_MSG;
1126 : : }
1127 : :
1128 : 2242 : return fko_set_spa_message_type(ctx, message_type);
1129 : : }
1130 : :
1131 : : /* Prompt for and receive a user password.
1132 : : */
1133 : : static int
1134 : 2216 : get_keys(fko_ctx_t ctx, fko_cli_options_t *options,
1135 : : char *key, int *key_len, char *hmac_key, int *hmac_key_len)
1136 : : {
1137 : : #if !AFL_FUZZING
1138 : 2216 : char *key_tmp = NULL, *hmac_key_tmp = NULL;
1139 : : #endif
1140 : 2216 : int use_hmac = 0, res = 0;
1141 : :
1142 : : memset(key, 0x0, MAX_KEY_LEN+1);
1143 : : memset(hmac_key, 0x0, MAX_KEY_LEN+1);
1144 : :
1145 [ + + ]: 2216 : if(options->have_key)
1146 : : {
1147 : 98 : strlcpy(key, options->key, MAX_KEY_LEN+1);
1148 : 98 : *key_len = strlen(key);
1149 : : }
1150 [ + + ]: 2118 : else if(options->have_base64_key)
1151 : : {
1152 : 207 : *key_len = fko_base64_decode(options->key_base64,
1153 : 207 : (unsigned char *) options->key);
1154 [ + + ]: 207 : if(*key_len > 0 && *key_len < MAX_KEY_LEN)
1155 : : {
1156 : 206 : memcpy(key, options->key, *key_len);
1157 : : }
1158 : : else
1159 : : {
1160 : 1 : log_msg(LOG_VERBOSITY_ERROR, "[*] Invalid key length: '%d', must be in [1,%d]",
1161 : : *key_len, MAX_KEY_LEN);
1162 : 1 : return 0;
1163 : : }
1164 : : }
1165 : : else
1166 : : {
1167 : : /* If --get-key file was specified grab the key/password from it.
1168 : : */
1169 [ + + ]: 1911 : if(options->get_key_file[0] != 0x0)
1170 : : {
1171 [ + + ]: 1884 : if(get_key_file(key, key_len, options->get_key_file, ctx, options) != 1)
1172 : : {
1173 : : return 0;
1174 : : }
1175 : : }
1176 [ + + ]: 27 : else if(options->use_gpg)
1177 : : {
1178 [ - + ]: 18 : if(options->use_gpg_agent)
1179 : 0 : log_msg(LOG_VERBOSITY_NORMAL,
1180 : : "[+] GPG mode set, signing passphrase acquired via gpg-agent");
1181 [ + + ]: 18 : else if(options->gpg_no_signing_pw)
1182 : 17 : log_msg(LOG_VERBOSITY_NORMAL,
1183 : : "[+] GPG mode set, signing passphrase not required");
1184 [ + - ]: 1 : else if(strlen(options->gpg_signer_key))
1185 : : {
1186 : : #if AFL_FUZZING
1187 : : strlcpy(key, AFL_ENC_KEY, MAX_KEY_LEN+1);
1188 : : #else
1189 : 1 : key_tmp = getpasswd("Enter passphrase for signing: ", options->input_fd);
1190 [ - + ]: 1 : if(key_tmp == NULL)
1191 : : {
1192 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] getpasswd() key error.");
1193 : 0 : return 0;
1194 : : }
1195 : 1 : strlcpy(key, key_tmp, MAX_KEY_LEN+1);
1196 : : #endif
1197 : 1 : *key_len = strlen(key);
1198 : : }
1199 : : }
1200 : : else
1201 : : {
1202 : : #if AFL_FUZZING
1203 : : strlcpy(key, AFL_ENC_KEY, MAX_KEY_LEN+1);
1204 : : #else
1205 : 9 : key_tmp = getpasswd("Enter encryption key: ", options->input_fd);
1206 [ + + ]: 9 : if(key_tmp == NULL)
1207 : : {
1208 : 1 : log_msg(LOG_VERBOSITY_ERROR, "[*] getpasswd() key error.");
1209 : 1 : return 0;
1210 : : }
1211 : 8 : strlcpy(key, key_tmp, MAX_KEY_LEN+1);
1212 : : #endif
1213 : 8 : *key_len = strlen(key);
1214 : : }
1215 : : }
1216 : :
1217 [ + + ]: 2174 : if(options->have_hmac_key)
1218 : : {
1219 : 35 : strlcpy(hmac_key, options->hmac_key, MAX_KEY_LEN+1);
1220 : 35 : *hmac_key_len = strlen(hmac_key);
1221 : 35 : use_hmac = 1;
1222 : : }
1223 [ + + ]: 2139 : else if(options->have_hmac_base64_key)
1224 : : {
1225 : 217 : *hmac_key_len = fko_base64_decode(options->hmac_key_base64,
1226 : 217 : (unsigned char *) options->hmac_key);
1227 [ + + ]: 217 : if(*hmac_key_len > MAX_KEY_LEN || *hmac_key_len < 0)
1228 : : {
1229 : 2 : log_msg(LOG_VERBOSITY_ERROR,
1230 : : "[*] Invalid decoded key length: '%d', must be in [0,%d]",
1231 : : *hmac_key_len, MAX_KEY_LEN);
1232 : 2 : return 0;
1233 : : }
1234 : 215 : memcpy(hmac_key, options->hmac_key, *hmac_key_len);
1235 : 215 : use_hmac = 1;
1236 : : }
1237 [ + + ]: 1922 : else if (options->use_hmac)
1238 : : {
1239 : : /* If --get-key file was specified grab the key/password from it.
1240 : : */
1241 [ + + ]: 5 : if(options->get_hmac_key_file[0] != 0x0)
1242 : : {
1243 [ + + ]: 2 : if(get_key_file(hmac_key, hmac_key_len,
1244 : 2 : options->get_hmac_key_file, ctx, options) != 1)
1245 : : {
1246 : : return 0;
1247 : : }
1248 : : use_hmac = 1;
1249 : : }
1250 : : else
1251 : : {
1252 : : #if AFL_FUZZING
1253 : : strlcpy(hmac_key, AFL_HMAC_KEY, MAX_KEY_LEN+1);
1254 : : #else
1255 : 3 : hmac_key_tmp = getpasswd("Enter HMAC key: ", options->input_fd);
1256 [ - + ]: 3 : if(hmac_key_tmp == NULL)
1257 : : {
1258 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] getpasswd() key error.");
1259 : 0 : return 0;
1260 : : }
1261 : 3 : strlcpy(hmac_key, hmac_key_tmp, MAX_KEY_LEN+1);
1262 : : #endif
1263 : 3 : *hmac_key_len = strlen(hmac_key);
1264 : 3 : use_hmac = 1;
1265 : : }
1266 : : }
1267 : :
1268 [ + + ]: 2171 : if (use_hmac)
1269 : : {
1270 [ - + ]: 254 : if(*hmac_key_len < 0 || *hmac_key_len > MAX_KEY_LEN)
1271 : : {
1272 : 0 : log_msg(LOG_VERBOSITY_ERROR, "[*] Invalid HMAC key length: '%d', must be in [0,%d]",
1273 : : *hmac_key_len, MAX_KEY_LEN);
1274 : 0 : return 0;
1275 : : }
1276 : :
1277 : : /* Make sure the same key is not used for both encryption and the HMAC
1278 : : */
1279 [ + + ]: 254 : if(*hmac_key_len == *key_len)
1280 : : {
1281 [ + + ]: 32 : if(memcmp(hmac_key, key, *key_len) == 0)
1282 : : {
1283 : 1 : log_msg(LOG_VERBOSITY_ERROR,
1284 : : "[*] The encryption passphrase and HMAC key should not be identical, no SPA packet sent. Exiting.");
1285 : 1 : return 0;
1286 : : }
1287 : : }
1288 : :
1289 : 253 : res = fko_set_spa_hmac_type(ctx, options->hmac_type);
1290 [ - + ]: 253 : if(res != FKO_SUCCESS)
1291 : : {
1292 : 0 : errmsg("fko_set_spa_hmac_type", res);
1293 : 0 : return 0;
1294 : : }
1295 : : }
1296 : :
1297 : : return 1;
1298 : : }
1299 : :
1300 : : /* Display an FKO error message.
1301 : : */
1302 : : void
1303 : 330 : errmsg(const char *msg, const int err) {
1304 : 330 : log_msg(LOG_VERBOSITY_ERROR, "%s: %s: Error %i - %s",
1305 : : MY_NAME, msg, err, fko_errstr(err));
1306 : 330 : }
1307 : :
1308 : : static void
1309 : 23730 : zero_buf_wrapper(char *buf, int len)
1310 : : {
1311 : :
1312 [ + + ]: 23730 : if(buf == NULL || len == 0)
1313 : : return;
1314 : :
1315 [ - + ]: 21396 : if(zero_buf(buf, len) == FKO_ERROR_ZERO_OUT_DATA)
1316 : 0 : log_msg(LOG_VERBOSITY_ERROR,
1317 : : "[*] Could not zero out sensitive data buffer.");
1318 : :
1319 : : return;
1320 : : }
1321 : :
1322 : : #if HAVE_LIBFIU
1323 : : static int
1324 : 2373 : enable_fault_injections(fko_cli_options_t * const opts)
1325 : : {
1326 : 2373 : int rv = 1;
1327 [ + + ]: 2373 : if(opts->fault_injection_tag[0] != 0x0)
1328 : : {
1329 [ + - ]: 30 : if(opts->verbose)
1330 : 30 : log_msg(LOG_VERBOSITY_NORMAL, "[+] Enable fault injection tag: %s",
1331 : 30 : opts->fault_injection_tag);
1332 [ - + ]: 30 : if(fiu_init(0) != 0)
1333 : : {
1334 : 0 : log_msg(LOG_VERBOSITY_WARNING, "[*] Unable to set fault injection tag: %s",
1335 : 0 : opts->fault_injection_tag);
1336 : 0 : rv = 0;
1337 : : }
1338 [ - + ]: 30 : if(fiu_enable(opts->fault_injection_tag, 1, NULL, 0) != 0)
1339 : : {
1340 : 0 : log_msg(LOG_VERBOSITY_WARNING, "[*] Unable to set fault injection tag: %s",
1341 : : opts->fault_injection_tag);
1342 : 0 : rv = 0;
1343 : : }
1344 : : }
1345 : 2373 : return rv;
1346 : : }
1347 : : #endif
1348 : :
1349 : : /* free up memory and exit
1350 : : */
1351 : : static void
1352 : 2373 : clean_exit(fko_ctx_t ctx, fko_cli_options_t *opts,
1353 : : char *key, int *key_len, char *hmac_key, int *hmac_key_len,
1354 : : unsigned int exit_status)
1355 : : {
1356 : : #if HAVE_LIBFIU
1357 [ + + ]: 2373 : if(opts->fault_injection_tag[0] != 0x0)
1358 : 30 : fiu_disable(opts->fault_injection_tag);
1359 : : #endif
1360 : :
1361 [ - + ]: 2373 : if(fko_destroy(ctx) == FKO_ERROR_ZERO_OUT_DATA)
1362 : 0 : log_msg(LOG_VERBOSITY_ERROR,
1363 : : "[*] Could not zero out sensitive data buffer.");
1364 : 2373 : ctx = NULL;
1365 : 2373 : free_configs(opts);
1366 : 2373 : zero_buf_wrapper(key, *key_len);
1367 : 2373 : zero_buf_wrapper(hmac_key, *hmac_key_len);
1368 : 2373 : *key_len = 0;
1369 : 2373 : *hmac_key_len = 0;
1370 : 2373 : exit(exit_status);
1371 : : }
1372 : :
1373 : : /***EOF***/
|
