Que tal foro. Me encuentro escribiendo un exploit que utiliza sockets ya que intenta explotar un servidor. Resulta que ya he logrado sobreescribir EBP y EIP.

Pero el problema que tengo es que no se como calcular el valor que debe tomar EIP. Osea, la direccion de retorno a donde va a saltar (que debe caer al principio del buffer, donde estan los N0PS).

Cuando se trata de exploits locales es facil hacerlo, ya sea hardcodeando el valor de ESP y restandole el sizeof del shellcode, o usando variables del ENVIROMENT.

Pero en el caso de una maquina remota como saber la dirección ¿?

Saludos y gracias de antemano.

Si wey eso rularia si se pudiera hacer, pero dudo que el servidor te vaya a decir esa direccion.
La manera usual es, ver como funciona el servidor, mirar en que sección esta el overflow(heap, stack, bss) y luego comenzar desde el tope de cada sección, intentando darle a la direccion, prueba agregando de 4 bytes en 4 bytes de direcciones hasta que le pegues. Otra seria mirar exactamente el host que atacas y si es un binario precompilado, debbugear y sacar la direccion exacta, esto es lo que normalmente se hace en windows. Wey hay otras 100000 posibilidades pero estas son las mas sencillas, aunque no me parecen efectivas.