Sin DEP:
Padding + jmp esp address + shellcode + system() ret address.

Con DEP:
Padding + jmp esp address + DesactivarDep+shellcode + system() ret address.


DesactivarDep, si kieres hay un articulo muy bueno en ingles:
http://www.uninformed.org/?v=2&a=4&t=txt


De todas formas te recomiendo k uses shellcodes que sean mas universales y no dependan de direcciones aunque el mismo que usamos para desactivar el DEP usa direcciones harcodeadas.

---------------DesactivarDep----------------------

$evil .= "\x80\x20\x95\x7c";    //mov     al,0x1 -->Salta al cmp
$evil .= "\xff\xff\xff\xff";   //padding -->Tal vez te toque ir jugando con esto al igual que el otro padding, para que quede bien.
$evil .= "\xf8\xd3\x91\x7c";   //cmp     al,0x1 -->Luego va saltando hasta llegar donde queremos, mirar abajo
$evil .= "\xff\xff\xff\xff";    //padding

Bueno para que no sea muy largo ahi tienes un pekeño resumen, te tocara ir viendo con el olly los registros y demas para cambiar cosas,
acuerdate de cambiar las direcciones, pero suelen ser muy parecidas en windows xp, x ej en el mio era distinta.

En el documento iras viendo mejor, por ejemplo en el ms08-067, solo se usaba una direccion en este varias para llegar al tema interesante
que es lo siguiente, que hace que se desactive DEP de forma rapida y puedas explotar ese programa.

//Codigo y argumentos para desactivar DEP

7c935d6d 6a04             push    0x4
7c935d6f 8d45fc           lea     eax,[ebp-0x4]
7c935d72 50               push    eax
7c935d73 6a22             push    0x22
7c935d75 6aff             push    0xff
7c935d77 e8b188fdff       call    ntdll!ZwSetInformationProcess (7c90e62d)
7c935d7c e9c076feff       jmp  ntdll!LdrpCheckNXCompatibility+0x5c (7c91d441)

Espero que te sirva, sino ahi te dejo un enlace de un documento sobre un exploit que hice saltandome el DEP

http://ricardonarvaja.info/WEB/CONCURSOS%202008/CONCURSO%206/Concurso%206%20-%205%20-Explotar%20DAP%20con%20proteccion%20DEP%20-%20Trancek%20.rar

primero me confundi con las prisas, seria asi:

Padding + DesactivarDep+ jmp esp address shellcode + system() ret address.

Puff para evitar lo 7C, en este caso sta jodido, ya que necesitarias buscar en alguna libreria que lo desactivase el mismo codigo que te puse, el del push 0x4...etc.

Tal vez pudieras hacerlo de otra forma, pero te dije la sencilla, ya se complicaria bastante y en un programa tan sencillo no tienes apenas codigo para andar jugando con saltos para intentar hacer lo k kieras, asi que te va a ser jodido, te aconsejo que lo pruebes con otro que no use el pipe de los huevos jeje.

El tema de buscar las address, no me acuerdo como las busque yo, pero por ejemplo para el cmp al,1 y mov al,1 puedes buscarla con el olly en ntdll(search command) o con programitas especializados que te buscan mejor que el olly(no me se ahora el nombre d ninguno pero los hay, en metasploit creo que esta algo de eso, mira el exploit de hd moore ms08-067 ahi creo k usa la herramienta para buscarlo) y lo otro esta facil, es buscar la llamada:
--
call    ntdll!ZwSetInformationProcess

y que encima tenga el mismo codigo que te puse antes, ya que son los argumentos.

Pero es eso te recomiendo que primero lo intentes con otro programa mas facilillo y que no ande jodiendo con ciertos caracteres, si jode que sea solo con null o algo

ya vi que le pasabas los argumentos de ese modoen el otro tema, por eso te aconsejo para que vayas iniciandote otro programa que no filtre el 7C u otros caracteres que puedan ser usados en direcciones. Ya que ese metodo es el mas sencillo, y al ser la primera vez si te metes en cosas mas raras t vas a perder, se pierde cualkiera lo se por propia experiencia jeje, asi que si eso pilla un programa aunque sea cmercial de milw0m y modificalo para explotarlo con DEP, con el metodo ese.

Saludos

De vez en cuando me paso por aqui, pero me veras mas por crackslatinos estan ahi lso cracks jeje,

<
Padding + DesactivarDep+ jmp esp address shellcode + system() ret address.
>

Lo anterior lo puse porque dijo APO que su bug lo explotaba asi:
Padding + jmp esp address + shellcode + system() ret address.

Pero yibam veras que normalmente va a ser asi:
Padding + jmp esp address + DesactivarDep+shellcode

Lo d system() ret address me imagino que lo usaria para ejecutar algo de la shellcode, ni idea.


La cosa que si quieres ver algo mas interesante del DEP, exale un vistazo al exploit MS08-067 de metasploit, usa otra dll que no es ntdll.dll y solo usa una direccion para bypassear el DEP, ademas creo recordar que no habia un 7C de esos problematicos en el interprete de comandos.