http://blog.metasploit.com/2009/10/smb2-351-packets-from-trampoline.html 提到metasploit 中目前利用的方法不是很稳定，对真实的机器成功率比较低，并且提供了另外一个比较通用的利用方法，把一段小的跳转代码写入到一个稳定的地址中去(只需要发送351个报文)，而不是找内核内存中的跳转代码，下午抽空根据blog的思路改了一个利用，贴0x557论坛了。

另外metasploit的blog上貌似有一个笔误，push esi 应该是 0x56才对。

update: 刚才看了一下canvas的利用，也是用同一个技巧。