Esa es la direccion en la pila del puntero a , que esta en una variable de entorno, si te fijas en el exploit.

La pila de "usuario" en linux empieza en 0xC0000000, es decir, a partird e 0xbfffffff estan los datos y demas en la pila de los programas en ring 3 (usuario como ya he dicho)

Y arriba del todo, muy cerca de esa direccion, estan las variables de entorno. Es una cosa asi:

0xbfffffff
strings de variables de entorno
strings de variables de argumento
punteros de variables de entorno (lo que te interesa)
punteros de variables de argumento
argc (numero de argumentos)
y la pila normal....

Saber la direccion del puntero que te interesa es bastante facil, es una simple resta, pero no caigo ahora de memoria....

Busca info sobre exploits locales que usen variables de entorno, en ingles o en español (poco o nada)

Siento no ayudarte mas, tengo la cabeza fatal de la universidad 

Pregunta lo que necesites, no todos los dias viene alguien al foro de exploits preguntando cosas como esta.

Salu2