リターンアドレスを書き換えればいけるのは分かってましたがそれ以上追求でき
ませんでした。だめだめ。
↓こうするようです。
Win2kSP2 J 0x77E90B79,
Win2kSP3 J 0x77F60B20,
関連スレッド

• http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/exploitcoding/2003.07/msg00000.html
• http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/exploitcoding/2003.07/msg00001.html

手元でも動作を確認できました。10:15
↓この日本人の方はできたのだろうか？
http://archives.neohapsis.com/archives/fulldisclosure/2003-q3/1055.html