Hola!!!

Estoy analizando el exploit windows/ftp/microsoft_ftpd_nlst para entender su funcionamiento. Me he creado un Windows 2000 SPANISH SP4 con el FTP 5.0 y después de modificar el exploit añadiendo una dirección de JMP ESP válida me ha funcionado.

En teoría, si por ejemplo en 0x773b24eb tenemos un JMP ESP, cuando modificamos el exploit con este valor de memoria, cuando se lanza el ataque el valor de EIP se sobreescribe con este para que salte a ESP donde tenemos nuestra shellcode no??

El exploit modificado me funciona perfectamente, pero con el ollydbg, con el proceso inetinfo.exe en attach, cuando ejecuto el exploit no veo como se sobreescribe EIP. Creo que puede ser, por que no muestra todos los valores que va adoptando el EIP... es esto?? O estoy equivocado en algo...??

Gracias!!