[HACK] sendmail exploit para SuSE 7.2

RoMaN SoFt / LLFB !! roman at madrid.com
Sun Aug 26 05:51:18 CEST 2001 

 Hola.

 He estado jugando un poco con el exploit 'alsou.c' que afecta a los
últimos sendmails (8.11.x, x<=5). Os attacheo lo que he conseguido. He
dejado el fuente altamente comentado pero de todas formas os resumo un
poco:
- funciona del tirón en SuSE 7.2 default.
- tb incluyo los parámetros para explotar sendmail 8.11.2 (compilado y
construido desde tarball) en un SuSE 6.4 (ya que la versión de
sendmail que trae originariamente esta distribución es la 8.9.3, que
no es vulnerable)
- permite buscar el offset correcto mediante un shell-script. Este
script acepta 3 parámetros: offset inicial, offset final y el
incremento de offset en cada prueba o paso. Un incremento de 1000
debería funcionar. A mí me han ido bien los valores
(ini,fin,incr)=(500, 3500, 1000)
- he intentado documentar un poco todo el proceso para buscar los
parámetros VECT y GOT, que dependerán de la distribución / versión de
sendmail que se esté usando. Así pues podreis explotar cualquier
sistema.
- como ejemplo de lo anterior he incluido todo el log de cómo encontré
VECT, GOT y OFFSET para la SuSE 7.2. En este caso el código que hay
que buscar es:

 8095f48:       8b 7d f8                mov    0xfffffff8(%ebp),%edi
 8095f4b:       4f                      dec    %edi
 8095f4c:       8d 4a 01                lea    0x1(%edx),%ecx
 8095f4f:       39 fe                   cmp    %edi,%esi
 8095f51:       7f 0d                   jg     0x8095f60
 8095f53:       a1 80 1a 17 08          mov    0x8171a80,%eax
                                               ^^^^^^^^^

 8095f58:       88 1c 06                mov    %bl,(%esi,%eax,1)
 8095f5b:       46                      inc    %esi
 8095f5c:       39 fe                   cmp    %edi,%esi
 8095f5e:       7e f3                   jle    0x8095f53
 8095f60:       8a 02                   mov    (%edx),%al
 8095f62:       89 ca                   mov    %ecx,%edx
 8095f64:       84 c0                   test   %al,%al

 Como vemos, cambia un poco con respecto al documentado en otros
exploits, aunque se le parece enormemente :-) El latazo es que el
binario viene sin símbolos de depuración (stripped) por lo que he
tenido que jugar un poco con objdump y el asm.

 Se aceptan sugerencias. Salu2,

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
    ** RoMaN SoFt / LLFB **  
       roman at madrid.com
   http://pagina.de/romansoft
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

-------------- next part --------------
A non-text attachment was scrubbed...
Name: alsou2.tar.gz
Type: application/octet-stream
Size: 3250 bytes
Desc: not available
URL: <https://mailman.jcea.es/pipermail/hacking/attachments/20010826/325cab37/attachment.obj>

More information about the hacking mailing list