在上一篇学习文章中，发生栈溢出后，retn语句执行结束，esp寄存器几乎直接指向了溢出后的栈空间，因为可以使用jmp esp跳转到shellcode执行，但是这只是最理想的情况，也是在学习栈溢出漏洞时，教程中通常会讲解的情况。

而实际情况要复杂的多，更大概率你是无法通过jmp esp的方法跳转到shellcode执行的，因此这篇文章主要学习的就是其他各种能够让执行流程转到shellcode的方法。

从我个人的经验和以前的学习经历来看，前几个方法很好理解，而且以前在学习的时候也认真分析过，因此这里不再详细分析，只针对最后一个相对复杂的情况，出于复习和巩固的角度进行详细分析，并将几种方法总结成一张思维导图。

这个方法针对的是溢出返回地址后，没有足够的空间放置shellcode，需要在shellcode放置在溢出的返回地址之前的情况。

仍旧使用上一篇文章中的Easy RM to MP3 Converter这个程序，在上一篇文章的实验中，覆盖完返回地址，有一大块空间可以用来放置shellcode，这里需要模拟假设返回地址后只有50字节的空间可用，而在返回地址之前，根据实验结果知道可以放置26090字节的数据。现在首先要确定的就是是否可以在栈中找到这26090字节的数据。

使用如下perl脚本生成测试文件：

其中$pattern还是使用pattern_create.rb脚本生成的1000字节的数据，用于判断栈中数据具体的起始位置。

打开生成的test1.m3u文件之后，windbg中断在0x42424242，和脚本中的eip数据相符，看一下栈中的数据：

可以看到esp直接指向了50字节的“X”，但是由于（模拟）这里只能存放50字节的数据，shellcode没办法放在这里，而在0x000ffe50处，可以发现属于前面$pattern内的数据，起始四个字节为5Ai6，使用pattern_offset.rb，可以确定这四个字节的偏移为257：

所以我们可以在真正的shellcode放在前面偏移257字节之后，然后在返回地址后面的50个字节中存放跳转指令，跳转到真正的shellcode执行。

实际情况中，可以不必准确的放在257字节偏移，而是可以在前面再放置一些nop指令，这样在确定跳转指令的时候，可以允许一些误差。

根据上面的输出，在溢出返回地址之后，返回地址处溢出的可以是jmp esp指令，然后程序跳转到0x000ffd38这里执行指令，这里执行的指令需要再次跳转到0x000ffe50之后执行真正的shellcode，也就是说至少要跳转到esp+280的位置，即执行add esp 280; jmp esp指令。

然后在实际组成跳转指令的时候，不要一次性执行+280的操作，因为我们要考虑到整个payload中不能存在null字节；同时由于可以在前方插入一定量的nop指令，因此实际取值可以大一些。

这里选择做三次加法，每次加0x5e，一共增加282字节。使用a命令写入汇编命令，最后Enter键退出，使用u命令查看机器码：

所以在返回地址之后的部分，可以放入机器指令：83c45e 83c45e 83c45e ffe4

在上面已经说了，需要覆盖返回地址，让其跳转执行jmp esp指令，在上一篇文章中，我们已经找到了一个合适的jmp esp指令的地址0227135b。

最终使用的perl脚本：

最终可以正常执行到shellcode的位置：

如果可利用的空间很小，没有办法存放那么多的pop指令，这个时候就可以使用popad指令进行替代，popad指令会一次弹出EDI, ESI, EBP, EBX, EDX, ECX, 和EAX寄存器的值，执行的操作如下：

也就是说，每次的popad都会让esp增加32，而popad的机器码为0x61，有效的减少了使用空间。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课