Om en BSD/OS exploit (1997)

Henrik Brohlin henrik.brohlin at gmail.com
Thu Feb 27 01:56:51 CET 2014


Hej BUSar,

Jag undersöker ett allvarligt dataintrång som drabbade Telia hösten 1997.
I oktober, 1997, så postade "Secure Networks Inc." en advisory angående en
sårbarhet i tgetent(3) som Theo de Raadt påstås ha identifierat.

Dagarna senare så postade en internetanvändaren med signaturen Joseph_K ett
program som utnyttjade sårbarheten under BSDi.  I kommentarsfältet i
programmet hittar man strängen "Fy faen vad jag ar hungrig..."

Det kan få vem som helst att tro att upphovsmannen är en glupsk, svensk
kodknackare med tillgång till kommersiella BSD-distributioner.

Jag är nyfiken på om någon vet vem denne Joseph_K är?  Eller vilka som
gömmer sig bakom gruppen TWiLiGHT, som Joseph_K förärat med så kallade
"Special Greetz".

Jag tänker mig att scenen med BSD-användare i mitten på 90-talet var
relativt liten och att någon BUSe på listan kanske kan ha en ide om vem
programmets upphovsman är?
Kanske var det någon med närhet till Theo de Raadt som ursprungligen
upptäckte sårbarheten?

Kontakta mig gärna utanför listan om ni har tips eller ideer kring det
här.  Tack på förhand.

H.


Date: Thu, 23 Oct 1997 04:36:00 -0000
From: Joseph_K <joseph_k at CIRCUITFROST.NET>
To: BUGTRAQ at NETSPACE.ORG
Subject: BSDI termcap exploit

Here's a remote exploit for the BSDI termcap buffer overflow that was
discussed here....
Enjoy!

Joseph_K

---
/* BSDI BSD/OS 2.1 telnet-exploit ; evil-term.c
**
** Written by Joseph_K the 22-Oct-1997
**
**
** Original shellcode by mudge at l0pht.com but modified a tiny bit...
**
** This program must be compiled for the BSDI architecture...
** You will need to transfer the file 'termcap' this program creates
** to the host you want to penetrate, possibly by anonymous FTP.
**
** Then start telnet and type:
**
** telnet> env def TERM access
** telnet> env def TERMCAP /path/and/name/of/uploaded/file
** telnet> open victim.host.com
**
** tadaa! r00t shell...
**
** However because of the invalid termcap entry, there can be some
** hazzles....You figure it out....
**
** Fy faen vad jag ar hungrig...
**
** Special Greetz to TWiLiGHT!
**
*/


More information about the BUS mailing list