Buenisimo!! Un nuevo exploiter en la comunidad :-)


Los nops se usan para darle una cierta libertad a la direccion de retorno al stack, en tu caso la direccion es siempre fija (=esp despues del jmp esp en user32) y se encuentra justo despues del ret. Si le sacas los nops deberia seguir funcionando.


Me parece raro que hayas superado el espacio reservado para el stack porque vi que probaste con un pattern_create de 1000 bytes y paso sin problemas. El error debe estar en la shellcode que le pusistes. Posteala aca para verla sino.
Meterle un pattern donde iria la shellcode no te va a decir cuanto espacio tenes disponible, imagino que eso lo podes ver en la info del ejecutable (PE), al menos en los elf aparece. Sino mas facil, anda hasta abajo del todo en la sección de stack y fijate donde termina jeje.

ah, pense que te habia funcionado... seguis viendo en eip 0xabababba ?

La sobreescritura del eip debe variar segun el tamano del buffer, o bien el programa mismo te modifica los ultimos bytes, no te queda otra que depurarlo mucho mas.
Proba sino de generar un pattern de por ej. 256 bytes y con offset_pattern sacas el desplazamiento y haces siempre el bof con un buffer de 256 bytes (metiendo el eip donde tiene que ser), asi te evitas al menos el primer factor que te comentaba.

Ah, se la agregue yo nomas, con ese valor se deberia sobreescribir el eip (0xdeadbeef), te funciono?

En la wiki de metasploit
:http://en.wikibooks.org/wiki/Metasploit/WritingWindowsExploit


GL!

Me fije en la doc y pattern_offset te dice la cantidad de bytes a rellenar antes de alcanzar el eip de retorno. Para llegar al eip tenes que meterle 239 bytes y los 4 siguientes (arch de 32 bits) serian el eip.

buffer = "A" * 239 + "\xef\xbe\xad\xde"
payload = (buffer)
f = open("Exploit.m3u","wb")
f.write(payload)
f.close()

Hola rockhound,

De mi parte no tengo idea, tendrias que depurarlo un poco mas para encontrar el momento donde se sobreescribe el eip.

Para mi que es porque el path que el tiene es mas largo que el tuyo (C:\Users\cprados\Desktop\exploit\), por eso necesitas mas "A".

Tenes que buscar en las librerias que carga coolplayer.exe, en el olly podes ver todos los modulos cargados. A findjmp le tenes que indicar la dll y te va a encontrar un "jmp esp" o algo parecido para poder saltar a la pila que es donde deberias poner tu shellcode.

Proba con

set disassembly-flavor intel

Sino mirate esta sección de la doc de gdb:
:http://sourceware.org/gdb/current/onlinedocs/gdb/Machine-Code.html

Saludos

Mmm, para estar bien seguros, cambia estas lineas del codigo que te pase

	if res.status == 404: # respuesta 404
		print "not found"
	else:
		print "OK!"
		# Salvar usuario
		valid_users.append(user)

por estas

	if res.status in range(200,300): # 2XX OK
		print "OK!"
		# Salvar usuario
		valid_users.append(user)
	else:
		print "not found"

Cambialas y probalo de vuelta a ver que te dice.

Los GET al ftp? no tendras el ftp escuchando en el puerto 80?

Los GET deberian llegar al http y si encuentra usuarios por http despues intenta por ftp.

Saludos

Bueno, podes bajarte python para windows sino.
Guardas el codigo en un archivo, suponete bf.py, y lo ejecutas asi

python bf.py localhost users.txt