Адрес возврата находится в EBP + 4 в вашем стековом фрейме, но вы не сможете использовать его таким образом при переполнении буфера, поскольку вы еще не управляете потоком выполнения.
То, что вы должны искать, это расстояние адреса возврата от буфера. Это уникально для каждой уязвимости, и все, что попало между ними, необходимо прогнозировать, иначе вы скорее всего просто вызовете сброс процесса.