Extraño salto técnica POP POP RET

[Lodos76]

El que tiene el problema de busqueda con analisis es Olly 1.10. Si usas Olly 2 no deberias tenerlo.

De cualquier forma, si en Olly no encuentras los opcodes del comando, es probable que no esten y que findjmp falle.

Recuerda que puedes buscar alternativas a un JMP ESP, como por ej.: PUSH ESP-RET, CALL ESP, MOV R32, ESP-CALL/JMP R32, etc. etc

Saludos!

PD: El EXE no tiene ASLR, no?  

Pues estoy usando OllyDbg 1.10, y parece ser que las DLLs del sistema —como podría ser  user32.dll— las detecta bien, pero quitándole el análisis a las DLLs externas, me ha detectado un "jmp esp", y con findjmp.exe muuuchos más...

No tiene ASLR, no, jaja.
Ahora estoy estudiando esas técnicas, pero la primera es POP-RET (la del exploit) y no me sale. Se ve que el EIP coge 3 bytes de la shellcode, además de un 65 que no sé de dónde sale, y no le encuentro el más mínimo sentido jah...

[Lodos76]

Vale, el exploit ya va, pero poniendo la variable $strange al código (que es donde apunta ESP) y que contenga 4 NOPs o 4 breakpoints y apretando F7 F7 F7 F7 F9, se ejecuta la calculadora, pero si pongo directamente la shellcode, no se ejecuta, MUY RARO. ¿Y eso?

Código usando la variable $strange: pastebin.com/M4Q40KEC
Este exploit ejecuta la calculadora.

Screenshot sin usar la variable $strange: subeimagenes.com/img/eing-909483.jpg
No se ejecuta la calculadora, pero mirad donde apunta ESP  

[Lodos76]

SOLUCIONADO

El problema estaba en que la shellcode que abre calc.exe que usaba requería que pusiera 4 NOPs (o cualquier relleno) adicionales. He usado mi propia shellcode y problema solucionado.