Pileus Git - ~andy/fetchmail/blob - ntlmsubr.c

   1 #include "config.h"
   2
   3 #ifdef NTLM_ENABLE
   4 #include "fetchmail.h"
   5 #include "i18n.h"
   6 #include "ntlm.h"
   7 #include "socket.h"
   8
   9 #include <string.h>
  10
  11 int ntlm_helper(int sock, struct query *ctl, const char *proto)
  12 {
  13 /*
  14  * NTLM support by Grant Edwards.
  15  *
  16  * Handle MS-Exchange NTLM authentication method.  This is the same
  17  * as the NTLM auth used by Samba for SMB related services. We just
  18  * encode the packets in base64 instead of sending them out via a
  19  * network interface.
  20  *
  21  * Much source (ntlm.h, smb*.c smb*.h) was borrowed from Samba.
  22  */
  23     tSmbNtlmAuthRequest request;
  24     tSmbNtlmAuthChallenge challenge;
  25     tSmbNtlmAuthResponse response;
  26
  27     char msgbuf[2048];
  28     int result;
  29
  30     if ((result = gen_recv(sock, msgbuf, sizeof msgbuf)))
  31         return result;
  32
  33     if (msgbuf[0] != '+' && strspn(msgbuf+1, " \t") < strlen(msgbuf+1)) {
  34         if (outlevel >= O_VERBOSE) {
  35             report(stdout, GT_("Warning: received malformed challenge to \"AUTH(ENTICATE) NTLM\"!\n"));
  36         }
  37         result = PS_AUTHFAIL;
  38         goto cancelfail;
  39     }
  40
  41     buildSmbNtlmAuthRequest(&request,ctl->remotename,NULL);
  42
  43     if (outlevel >= O_DEBUG)
  44         dumpSmbNtlmAuthRequest(stdout, &request);
  45
  46     memset(msgbuf,0,sizeof msgbuf);
  47     to64frombits (msgbuf, &request, SmbLength(&request));
  48
  49     if (outlevel >= O_MONITOR)
  50         report(stdout, "%s> %s\n", proto, msgbuf);
  51
  52     strcat(msgbuf,"\r\n");
  53     SockWrite (sock, msgbuf, strlen (msgbuf));
  54
  55     if ((result = gen_recv(sock, msgbuf, sizeof msgbuf)))
  56         goto cancelfail;
  57
  58     if ((result = from64tobits (&challenge, msgbuf, sizeof(challenge))) < 0
  59             || result < ((void *)&challenge.context - (void *)&challenge))
  60     {
  61         report (stderr, GT_("could not decode BASE64 challenge\n"));
  62         /* We do not goto cancelfail; the server has already sent the
  63          * tagged reply, so the protocol exchange has ended, no need
  64          * for us to send the asterisk. */
  65         return PS_AUTHFAIL;
  66     }
  67
  68     /* validate challenge:
  69      * - ident
  70      * - message type
  71      * - that offset points into buffer
  72      * - that offset + length does not wrap
  73      * - that offset + length is not bigger than buffer */
  74     if (0 != memcmp("NTLMSSP", challenge.ident, 8)
  75             || challenge.msgType != 2
  76             || challenge.uDomain.offset > result
  77             || challenge.uDomain.offset + challenge.uDomain.len < challenge.uDomain.offset
  78             || challenge.uDomain.offset + challenge.uDomain.len > result)
  79     {
  80         report (stderr, GT_("NTLM challenge contains invalid data.\n"));
  81         result = PS_AUTHFAIL;
  82         goto cancelfail;
  83     }
  84
  85     if (outlevel >= O_DEBUG)
  86         dumpSmbNtlmAuthChallenge(stdout, &challenge);
  87
  88     buildSmbNtlmAuthResponse(&challenge, &response,ctl->remotename,ctl->password);
  89
  90     if (outlevel >= O_DEBUG)
  91         dumpSmbNtlmAuthResponse(stdout, &response);
  92
  93     memset(msgbuf,0,sizeof msgbuf);
  94     to64frombits (msgbuf, &response, SmbLength(&response));
  95
  96     if (outlevel >= O_MONITOR)
  97         report(stdout, "%s> %s\n", proto, msgbuf);
  98
  99     strcat(msgbuf,"\r\n");
 100     SockWrite (sock, msgbuf, strlen (msgbuf));
 101
 102     return PS_SUCCESS;
 103
 104 cancelfail: /* cancel authentication and return failure */
 105     {
 106         if (outlevel >= O_MONITOR)
 107             report(stdout, "%s> *\n", proto);
 108         SockWrite(sock, "*\r\n", 3);
 109         return result;
 110     }
 111 }
 112
 113 #endif /* NTLM_ENABLE */