找到精确溢出的4个字节

• 二分法/唯一字串法(下面用唯一字串法)

• cd usr/share/metasploit-framework/tools
  
  ./pattern_create.rb 2700

• 查看EIP（从右向左看）
• 计算偏移量

• ./pattern_offset.rb +EIP

• 再发送数据确认4个字节

内存地址的书写是从右到左的

39694438  ->读的时候 38 44 69 39

/usr/share/metasploit-framework/tools/exploit

pattern_create.rb

pattern_offset.rb

如何才能精确定位到 两种方法

两分法 不停的二分 

唯一字符串 生成2700个字符  每4个字符为一组 每一组都是是唯一的 所以称为唯一字符串 如果我们可以生成这个唯一的字符串的话 可以发送唯一的字符串 然后只需要看到被填充到EIP里面是那个字符串 这样就可以一下就可以定位到字符创 这样就可以对EIP里面的寄存器做出精确的修改

kali 有现成的脚本

内存地址和我们使用的顺序相反 高位存放低地址 低位存放高地址

前面2606个全部填写为a 地2607个填写一个不同的字符在此确认一下这个位子是可以让我修改的

精确的将EIP写进我们想要的值 指向我们内存中任意的一块空间（比如说存放shellcode所存放的能存地址空间） 那么就可以就可以实现通过你这个漏洞我来远程控制你的服务器的目的

ESP里面添加的是shellcode 一串恶意代码 这个代码会在目标服务器上开一个端口 或者主动反向链接用nc链接我的攻击者的指定端口 就可以实现通过你这个漏洞我来远程控制你的服务器的目的