metasploit-framework/lib/msf/core/exploit/mssql.rb

150 lines
4.0 KiB
Ruby

require 'msf/core'
module Msf
###
#
# This module exposes methods for querying a remote MSSQL service
#
###
module Exploit::Remote::MSSQL
include Exploit::Remote::Udp
include Exploit::Remote::Tcp
#
# Creates an instance of a MSSQL exploit module.
#
def initialize(info = {})
super
# Register the options that all MSSQL exploits may make use of.
register_options(
[
Opt::RHOST,
Opt::RPORT(1433),
], Msf::Exploit::Remote::MSSQL)
end
#
# This method sends a UDP query packet to the server and
# parses out the reply packet into a hash
#
def mssql_ping
data = { }
ping_sock = Rex::Socket::Udp.create(
'PeerHost' => datastore['RHOST'],
'PeerPort' => 1434,
'Context' =>
{
'Msf' => framework,
'MsfExploit' => self,
})
ping_sock.put("\x02")
resp, saddr, sport = ping_sock.recvfrom()
ping_sock.close
return data if not resp
return data if resp.length == 0
var = nil
resp.slice!(0, resp.index('ServerName'))
resp.split(';').each { |d|
if (not var)
var = d
else
data[var] = d
var = nil
end
}
return data
end
#
# This method connects to the server over TCP and attempts
# to authenticate with the supplied username and password
# The global socket is used and left connected after auth
#
def mssql_login(user='sa', pass='')
p_hdr = "\x02\x00\x02\x00\x00\x00\x02\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00"
p_pk2 = "\x30\x30\x30\x30\x30\x30\x61\x30\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x20\x18\x81\xb8\x2c\x08\x03"+
"\x01\x06\x0a\x09\x01\x01\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x73\x71\x75\x65\x6c\x64\x61"+
"\x20\x31\x2e\x30\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x0b\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00"
p_pk3 = "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x04\x02\x00\x00\x4d\x53\x44"+
"\x42\x4c\x49\x42\x00\x00\x00\x07\x06\x00\x00"+
"\x00\x00\x0d\x11\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00"
p_lang = "\x02\x01\x00\x47\x00\x00\x02\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"+
"\x00\x00\x00\x00\x00\x00\x30\x30\x30\x00\x00"+
"\x00\x03\x00\x00\x00"
user = user.slice(0, 29)
pass = pass.slice(0, 29)
ulen = user.length.chr
plen = pass.length.chr
user << ("\x00" * (30-user.length))
pass << ("\x00" * (30-pass.length))
p_login = p_hdr + user + ulen + pass + plen
p_login << p_pk2 + plen + pass + p_pk3
connect
sock.put(p_login)
sock.put(p_lang)
resp = sock.get_once
if (resp and resp.length > 10 and resp[8] == 0xe3)
return true
end
return false
end
end
end