跳板定位的exploit

以前学这一块的时候就没弄明白，今天仔细看了看却明白了，看来还是自学的知识比较扎实。

由于Windows中很多进程是动态加载的，所以函数函数栈帧的地址也会发生移位，因此shellcode的地址在内存中也是会变化的，即不能通过一次分析就判断之后运行的地址。

因此我们需要更加精准的方法确定shellcode的地址，有人想到了jmp esp这条指令，在函数返回后若将返回地址设为jmp esp指令所在的地址，那么就会跳转到esp的位置，我们可以将shellcode放在esp后面即可，因此buffer可以变为：

stack data

buffer

nop nop nop

前栈帧EBP（nop)

返回地址(jmp esp)

shellcode

stack data

通过上面的分析，问题的关键变为如何找到一条jmp esp指令的地址，我们可以通过搜索windows已经运行的进程user32.dll中的指令找到jmp esp的地址，而这地址是不会变化的。