学习编写Metasploit的exploit模块

表示终于是成功了，倒腾了一个星期了，周六在大神的指导下，栈溢出成功了！

在WinXP Sp3上写了一个栈溢出的漏洞，然后再BT5上写了个exploit模块，使之栈溢出，原理其实很简单，开一个数组然后赋值给该数组覆盖该函数的返回地址。简单介绍下如何获取返回地址，以及应当填充的字符的个数吧。

首先是返回地址Ret，即应该将漏洞代码的返回地址覆盖成的地址，Windows上一般采用的方法就是去调用一些系统进程的jmp/call esp指令（该地址是固定的，但Win7后加了地址随机化），然后再由该指令跳到shellcode，具体原理就不解释了，网上有好多说的很清楚的。

1.获取jmp/call esp指令的地址：

#include<windows.h>#include<stdio.h>#define DLL_NAME "kernel32.dll"// 一般加载的进程像user32.dll,kernel32.dll  int main(){BYTE *ptr ;int position, address ;HINSTANCE handle ;BOOL done_flag = FALSE ;handle = LoadLibrary(DLL_NAME) ; if( !handle ){printf(" load dll error") ; exit(0) ;}ptr = (BYTE*) handle ;for( position = 0; !done_flag; position++ ){ try{     //机器码0xffe4对应的是jmp esp        if( ptr[position] == 0xFF && ptr[position+1] == 0xE0 ){      int address  = (int)ptr + position ;         printf("OPCODDE found at 0x%x\n",address) ;     } }    catch(...){                      address = (int)ptr + position ;           printf("END OF 0x%x\n",address) ;        done_flag = TRUE ;    }}return 0 ;}

这是从ODAY安全书上找到的一种方法，在查找地址的时候比较好用，下面是一些机器码及对应的指令

2.得到应该添加的空字符数

表示就是这个问题让我纠结了很久，最后还是因为差了八个字节，让ret处被shellcode给填充了，一直看不到shellcode执行的效果:

开始是直接把返回地址打出来，然后根据开的数组的大小计算个数，

void a(void(*b)()){    ///}void b(){    a(b) ;}

在网上找到了这个打出地址的方法，后面大神也说这应该不会出错，而且个数也是4的整数倍，不会出现什么补齐的现象。。。希望有知道原因的赐教下。。。。。

后面还是用 ollydbg（强烈推荐使用）检测时候才发现这个问题，

第一次成功的经验，希望能对初学者有些帮助。。。。